Remote Mouse 4.601 Unauthenticated Remote System Control Remote Mouse 4.601 存在未认证远程控制漏洞，攻击者可通过 UDP 1978 端口发送特定数据包强制目标系统关机、重启或注销。... 2025-7-15 21:17:24 | 阅读: 50 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com payload remote mpr 601 windows

jsbin-web app - XSS Reflected jsbin-web应用存在反射型XSS漏洞，允许攻击者通过注入恶意脚本窃取敏感信息或发起其他攻击。... 2025-7-15 21:16:22 | 阅读: 6 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com jsbin ascnsrsgac 2592000 github

ISPConfig language_edit.php PHP Code Injection 该文章描述了一个针对ISPConfig语言编辑器的PHP代码注入漏洞（CVE-2023-46818），允许管理员通过language_edit.php注入任意PHP代码。模块支持自动检测和启用相关权限，并利用base64编码的payload进行攻击。... 2025-7-12 21:7:29 | 阅读: 6 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com php langedit payload ispconfig username

Events Manager < = 7.0.3 - Unauthenticated SQL Injection via orderby Parameter WordPress Events Manager插件（版本≤7.0.3）存在未认证SQL注入漏洞（CVE-2025-6970），攻击者可通过`orderby`参数注入SQL代码提取敏感数据。该漏洞源于用户输入未充分转义且SQL查询准备不足。CVSS评分为7.5（高危）。... 2025-7-12 21:6:16 | 阅读: 13 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com sqlmap orderby injection payload 3275

File Provider < = 1.2.3 - Unauthenticated SQL Injection File Provider插件（<=1.2.3）存在未认证SQL注入漏洞，攻击者可通过`fileId`参数注入SQL代码，窃取数据库敏感信息。CVSS评分7.5（高危），利用该漏洞可获取数据库信息。... 2025-7-12 21:5:8 | 阅读: 17 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com injection sqlmap php fileid wp

SAP NetWeaver S/4HANA ABAP Code Execution SAP NetWeaver S/4HANA中发现高危漏洞（CVSS 8.4），允许通过WRITE_AND_CALL_DBPROG函数模块执行任意ABAP代码。攻击者需具备执行本地功能模块权限（如S_DEVELOP/ACTVT=16）。尽管SAP认为此非安全漏洞且无补丁可用，但实际环境中授权配置不当可能导致系统被完全控制。建议严格审查用户权限并限制敏感功能访问。... 2025-7-12 21:4:10 | 阅读: 16 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com nullfaktor security developer ddic actvt

C-Based Automated Login Analyzer with CSRF Token Extraction for SSO bmi.ir Systems 该文章介绍了一个基于C语言的概念验证工具，用于自动化登录到受CSRF保护的SSO系统（如bmi.ir）。该工具通过模拟浏览器头信息、处理cookies并使用正则表达式提取反伪造令牌来实现会话模拟。它利用libcurl库执行GET、POST请求和身份验证状态管理，并旨在用于安全研究和渗透测试SSO实现。... 2025-7-11 21:17:5 | 阅读: 11 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com curlopt setopt slist sso bmi

Discourse 3.2.x Anonymous Cache Poisoning Discourse 3.2.x 存在匿名缓存中毒漏洞（CVE-2024-47773），允许攻击者通过多次XHR请求毒化缓存，影响匿名用户并导致响应缺少预加载数据。修复建议为升级或禁用匿名缓存。... 2025-7-11 21:16:20 | 阅读: 16 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com poisoning discourse anonymous preloaded poisoned

Microsoft Outlook Remote Code Execution Vulnerability - ACE 微软Outlook存在远程代码执行漏洞（CVE-2025-47176），可通过恶意邮件项或配置文件触发系统重启。该漏洞利用Outlook的路径解析机制，在特定条件下执行恶意操作。... 2025-7-7 19:50:15 | 阅读: 45 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com malicious microsoft 47176 prf

Oracle 23ai Privilege Escalation From GRANT ANY ROLE To DBA Role 文章描述了Oracle数据库系统中一个安全设计缺陷：具有“GRANT ANY ROLE”权限的账户可被利用以提升至“DBA”角色。通过赋予特定角色并设置所有角色，攻击者可成功升级账户权限。建议加强对高权限账户的保护和审计以防止此类攻击。... 2025-7-7 19:49:47 | 阅读: 22 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com database dba tom ora succeeded

MikroTik RouterOS < v7.0 - Reflected XSS in UserManager MikroTik RouterOS UserManager 存在反射型 XSS 漏洞，影响所有 v7.0 之前的版本。攻击者可通过构造恶意 URL 注入 JavaScript 代码，在浏览器中执行恶意操作。尽管系统尝试过滤输入以缓解风险，但通过重复 payload 可绕过过滤机制。此漏洞可能导致未授权的 JavaScript 执行、钓鱼攻击或重定向等安全威胁。建议修复措施包括对用户输入进行上下文感知编码、实施内容安全策略（CSP）以及避免在 HTML 或 JavaScript 上下文中反射未经验证的 GET 参数。... 2025-7-7 19:49:35 | 阅读: 25 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com usermanager mikrotik payload routeros userman

gogs 0.13.0 - Remote Code Execution Gogs 0.13.0 存在远程代码执行漏洞（CVE-2024-39930），攻击者可通过API令牌和SSH注入执行任意命令。... 2025-7-3 06:45:5 | 阅读: 17 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com ssh gogs username client paramiko

Vite fs LFI (Local File Inclusion) Vulnerability 该文章揭示了Vite框架中`@fs`机制存在的本地文件包含（LFI）漏洞（CVE-2025-30208），攻击者可通过构造特定查询参数读取服务器上的任意文件。该漏洞等级为高危至严重，并提供了详细的PoC代码和利用方法。... 2025-7-2 11:13:6 | 阅读: 43 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com bypass proxy payload vite futures

VBA Bypass Windows Defender Exploit PoC 这篇文章介绍了一个Python脚本，用于演示CVE-2025-47170漏洞的利用。该脚本生成一个包含VBA宏的恶意Word文档（.docm），当用户启用宏时，会从HTTP服务器下载并执行VBScript payload（salaries.vbs），导致系统重启。该方法通过动态下载payload和隐藏执行步骤来绕过Windows Defender检测。... 2025-7-2 11:12:26 | 阅读: 38 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com payload salaries docm python vbscript

Moodle 4.4.0 Authenticated Remote Code Execution Moodle 4.4.0 存在认证远程代码执行漏洞（CVE-2024-43425），允许攻击者通过上传特定计算题触发系统命令执行。该漏洞影响多个版本（如4.1至4.4系列），需登录后利用。... 2025-7-2 11:11:50 | 阅读: 17 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com cmid sesskey courseid ctxid quiz

WebDAV Windows 10 Remote Code Execution (RCE) 该漏洞利用Windows .URL文件行为，在Windows 10/11中通过WebDAV或SMB路径远程执行代码。攻击者生成恶意.URL文件诱导受害者打开，系统自动连接远程路径执行任意代码。... 2025-7-2 11:11:37 | 阅读: 34 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com webdav windows remote unc ux

Java-springboot-codebase 1.1 Arbitrary File Read 该漏洞存在于Java-springboot-codebase 1.1版本中，允许攻击者通过未认证的API接口读取服务器上的任意文件。攻击者可构造特定请求路径访问敏感文件。... 2025-7-2 11:11:9 | 阅读: 18 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com codebase springboot 46822 victim osamataher

Social Warfare WordPress Plugin 3.5.2 Remote Code Execution (RCE) Social Warfare WordPress插件3.5.2版本存在远程代码执行漏洞（CVE-2019-9978），攻击者可通过`swp_debug`参数触发漏洞，在目标服务器上执行任意代码并获取反向shell权限。该漏洞无需身份验证，影响范围为远程攻击。... 2025-7-1 18:43:33 | 阅读: 23 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com payload warfare wordpress attacker remote

PHP CGI Module 8.3.4 Remote Code Execution 这篇文章描述了PHP CGI模块的一个远程代码执行漏洞（CVE-2024-4577），影响PHP版本8.3.4及以下。攻击者可通过命令注入执行任意代码，绕过安全限制。该漏洞可能导致服务器被完全控制。修复建议升级到最新版本以避免风险。... 2025-7-1 18:42:44 | 阅读: 12 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com php bold 4577 injection yellow

Grandstream GSD3710 1.0.11.13 Stack Overflow 文章介绍了一个针对Grandstream GSD3710固件版本1.0.11.13及以下的堆栈溢出漏洞（CVE-2022-2025）的Python exploit脚本。该脚本通过构造恶意payload，利用ROP链调用system函数执行/bin/sh命令以获取设备控制权，并支持通过SSH连接进行测试。... 2025-6-29 19:42:24 | 阅读: 20 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com payload pwd grandstream p32 gsd3710