WordPress Digits Plugin 8.4.6.1 Authentication Bypass via OTP Bruteforcing WordPress Digits插件8.4.6.1版本前存在OTP暴力破解漏洞，因缺少速率限制，攻击者可尝试所有可能的OTP值（如0000至9999）以绕过身份验证或重置密码。该漏洞影响用户登录和注册流程，CVSS评分为9.8（严重），可通过修复插件版本解决。... 2025-6-10 21:21:59 | 阅读: 18 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com otp digits digit burp

Microsoft Excel Local Code Execution Vulnerability 微软Excel存在本地代码执行漏洞（CVE-2025-27751），攻击者通过发送恶意DOCX文件诱使用户打开，从而执行恶意代码，导致设备感染甚至系统崩溃。... 2025-6-10 21:21:47 | 阅读: 22 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com microsoft 27751 dim taskid

Apache Tomcat 10.1.39 Denial of Service (DoS) 文章介绍了针对Apache Tomcat 10.1.39的拒绝服务攻击漏洞CVE-2025-31650，通过发送无效HTTP/2优先级请求导致内存泄漏和服务器崩溃。... 2025-6-8 20:36:40 | 阅读: 19 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com asyncio httpx yellow tk

Microsoft Windows 11 23h2 CLFS.sys Elevation of Privilege Microsoft Windows 11 23h2版本中存在CLFS.sys驱动的权限提升漏洞（CVE-2024-49138），允许攻击者通过构造特定数据触发漏洞，实现任意内存读写并最终获取系统级权限。... 2025-6-8 20:36:31 | 阅读: 14 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com dword64 lu

HRM-1.0 2025 Cross-site scripting (reflected) HRM-1.0系统存在跨站脚本（XSS）漏洞，攻击者可通过`msg`参数注入恶意脚本代码。测试中使用`qq1r0<script>alert(1)</script>uideq`作为payload，成功触发弹窗警告。该漏洞风险等级为高危。... 2025-6-8 20:36:16 | 阅读: 19 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com stylesheet php clearfix wthree

HRM-1.0-2025 Multiple-SQLi 该文章描述了一个针对人力资源管理系统（HRM-1.0-2025）的SQL注入漏洞（Multiple-SQLi）。攻击者可通过密码参数提交恶意payload，导致数据库错误或时间延迟，从而获取敏感信息或绕过密码登录。该漏洞被评估为高危-关键级别，并提供了多种SQL注入攻击方式的示例payload。... 2025-6-8 20:36:7 | 阅读: 21 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com payload yquccwzl a9z

CloudClassroom PHP Project 1.0 SQL Injection CloudClassroom PHP Project 1.0 存在时间盲 SQL 注入漏洞，影响 `registrationform` 端点的 `pass` 参数。攻击者可利用此漏洞执行恶意 SQL 代码，导致敏感信息泄露或认证绕过。建议采用预编译语句和输入过滤修复问题。... 2025-6-4 09:0:36 | 阅读: 32 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com php injection github

ERPNext 15.53.1 Cross Site Scripting 文章描述了通过在用户资料页面的头像或个人简介字段中注入恶意JavaScript代码（XSS攻击），导致其他用户的浏览器执行存储的脚本。... 2025-6-4 08:59:32 | 阅读: 17 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com inject frappe desk bio payload

Windows Explorer - NTLM Hash Disclosure via .library-ms in ZIP Archive Windows 10/11中的一个漏洞允许通过包含特殊.library-ms文件的ZIP或RAR档案自动泄露用户的NTLMv2哈希。当提取此类档案时，Windows Explorer会自动连接到攻击者控制的SMB服务器，导致哈希泄露，从而引发信息泄露攻击。... 2025-6-4 08:56:17 | 阅读: 29 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com windows library attacker initiates ntlmv2

ABB Cylon Aspect 3.08.03 Guest2Root Privilege Escalation ABB Cylon Aspect 3.08.03版本中存在Guest到Root权限提升漏洞。该漏洞允许攻击者通过上传特制.bsx文件并利用sudo配置错误，绕过输入验证执行任意代码，最终获得root权限。... 2025-6-2 18:35:43 | 阅读: 21 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com php pwd aspect payload sess

Campcodes Online Hospital Management System 1.0 SQL Injection Campcodes医院管理系统1.0存在SQL注入漏洞，影响`admin/betweendates-detailsreports.php`中的`fromdate`和`todate`字段。`fromdate`支持时间盲注，`todate`支持布尔盲注和联合查询。... 2025-5-29 16:40:35 | 阅读: 10 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com todate fromdate injection sqlmap php

ZTE ZXV10 H201L RCE via authentication bypass 该文章描述了针对中兴ZXV10 H201L路由器的远程代码执行漏洞（RCE），通过绕过身份验证机制实现攻击。攻击者可利用此漏洞获取设备配置文件、解密敏感信息，并通过注入恶意命令控制设备。... 2025-5-29 16:40:26 | 阅读: 18 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com encryption username decrypted crc injection

Invision Community 5.0.6 Remote Code Execution (RCE) Invision Community 5.0.6 存在远程代码执行漏洞 (RCE)，允许攻击者通过构造特定请求执行任意系统命令。... 2025-5-29 16:40:6 | 阅读: 9 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com setopt curlopt php invision remote

UJCMS 9.6.3 User Enumeration via IDOR UJCMS 9.6.3 存在 IDOR 漏洞，允许攻击者通过 /users/id 端点枚举用户名。攻击者可利用该漏洞获取大量用户信息。... 2025-5-29 16:39:40 | 阅读: 8 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com ujcms idor username ux

compop.ca 3.5.3 Arbitrary code Execution compop.ca 3.5.3餐馆管理系统存在漏洞，利用Unix时间戳参数"ts"进行身份验证，导致任意代码执行。... 2025-5-27 17:38:35 | 阅读: 19 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com compop restaurant inurl 48445

ABB Cylon Aspect Studio 3.08.03 Binary Planting ABB Cylon Aspect Studio 3.08.03 存在二进制种植漏洞，影响版本 <=3.08.03。攻击者可通过恶意 DLL 实现代码执行，已验证于 Windows 10 和 OpenJDK 环境。... 2025-5-27 17:38:15 | 阅读: 12 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com aspect aamatrix java2d dbacnet

EMBRYO CMS by Pyxis Studio - Authenticated SQL Injection on www.embryohotel.com EMBRYO CMS存在SQL注入漏洞，允许认证用户获取数据库信息。... 2025-5-27 17:37:36 | 阅读: 21 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com embryo injection pyxis embryohotel 0x6ick

KRUKSTON-BISTRO-1.0 Multiple-SQLi KRUKSTON-BISTRO-1.0软件存在多个SQL注入漏洞。攻击者可通过用户名参数提交恶意payload，利用load_file函数读取外部文件或获取敏感信息。该漏洞可能导致未授权访问、系统崩溃或数据泄露。已提供验证视频链接。... 2025-5-27 17:37:6 | 阅读: 8 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com username payload opp

TechKnock Digital Services - Xpath Injection Vulnerability TechKnock Digital Services被发现存在Xpath注入漏洞，允许攻击者通过构造特定URL提取数据库版本信息，并附带了三个POC链接以示证明。... 2025-5-24 19:41:47 | 阅读: 15 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com mansoori behrouz techknock php 20and

Casdoor 1.901.0 Cross-Site Request Forgery (CSRF) Casdoor 1.901.0 存在 CSRF 漏洞，在 /api/set-password 端点允许攻击者通过构造恶意 URL 任意更改用户密码。... 2025-5-24 19:41:30 | 阅读: 21 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com casdoor 901 username userowner newpassword