MSSQL Database Privilege Elevation From ALTER ANY LOGIN To SYSADMIN MSSQL数据库存在一个特权提升漏洞，允许拥有"ALTER ANY LOGIN"权限的用户通过修改具有"IMPERSONATE ANY LOGIN"权限的账户密码来获取SYSADMIN角色。此漏洞影响SQL Server 2016至2022版本，并已被微软的安全更新修复。... 2025-8-20 19:35:54 | 阅读: 10 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com test1 database sysadmin impersonate test2

RiteCMS 3.0.0 Reflected Cross Site Scripting RiteCMS 3.0.0 存在反射型 XSS 漏洞，攻击者可通过 `main_menu/edit_section` 参数注入恶意脚本，导致凭证窃取、钓鱼或控制浏览器会话。修复建议包括输入验证、输出编码和实施 CSP 策略。... 2025-8-20 19:35:16 | 阅读: 11 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com ritecms github mp4 payload

Tenda AC20 16.03.08.12 Command Injection 这篇文章揭示了Tenda AC20路由器版本16.03.08.12中的一个命令注入漏洞（CVE-2025-9090），攻击者可通过/goform/telnet端点发送特制的POST请求执行任意命令，可能导致远程代码执行或系统控制。... 2025-8-20 19:34:42 | 阅读: 14 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com 31m setopt curlopt 34m 35m

Microsoft Edge Renderer Process (Mojo IPC) Sandbox Escape 微软Windows 11 Pro中的Mojo IPC子系统存在沙盒逃逸漏洞（CVE-2025-2783），恶意渲染进程可利用特定IPC消息逃逸沙盒并提升权限，可能导致系统完全被控制。... 2025-8-16 21:16:19 | 阅读: 19 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com microsoft payload malicious python simulation

Upload.am 1.0.0 WordPress Plugin - Multiple Vulnerabilities WordPress插件Upload.am 1.0.0存在多个高危漏洞，包括未经授权的设置修改和敏感信息泄露。攻击者可利用这些漏洞提升权限、获取敏感配置信息（如API令牌、邮件服务器凭据）及控制网站设置。... 2025-8-16 21:14:14 | 阅读: 20 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com wp wordpress sanitize php unslash

WordPress Upload.am 1.0.0 Setting Modification / Information Disclosure Upload.am 1.0.0 WordPress插件存在多个漏洞，包括未经授权的设置修改（CVSS 8.1）和敏感信息泄露（CVSS 6.5）。攻击者可通过AJAX接口篡改WordPress配置或获取敏感数据，如API令牌、管理员邮箱及站点URL。... 2025-8-13 21:54:53 | 阅读: 17 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com wp wordpress sanitize php unslash

Wazuh Server Remote Code Execution Wazuh服务器存在远程代码执行漏洞（CVE-2025-24016），源于不安全反序列化。攻击者通过API注入恶意数据触发异常，执行任意Python代码。影响版本为4.4.0至4.9.1，可通过被入侵仪表盘或代理利用。... 2025-8-13 21:53:51 | 阅读: 16 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com wazuh remote unhandled payload optstring

PivotX 3.0.0 RC 3 Remote Code Execution PivotX 3.0.0 RC 3远程代码执行漏洞允许攻击者通过修改服务器文件实现代码注入。... 2025-8-13 21:52:49 | 阅读: 18 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com php pivotx payload remote username

Projectworlds Online Admission System 1.0 SQL Injection 这篇文章介绍了一个针对Projectworlds在线招生系统1.0版本的SQL注入漏洞（CVE-2025-8471），并提供了一个C语言工具来检测和利用该漏洞。工具支持多种SQL注入技术，并通过响应长度变化和错误信息来判断漏洞是否存在。... 2025-8-11 20:53:4 | 阅读: 13 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com 31m curlopt setopt slist 34m

JetBrains TeamCity 2023.11.4 Authentication Bypass JetBrains TeamCity 2023.11.4 存在认证绕过漏洞（CVE-2024-27198），允许未认证攻击者通过JSP处理机制和REST API执行管理操作。该漏洞利用路径遍历技术，在旧版本中未修复。... 2025-8-11 20:50:58 | 阅读: 9 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com yellow ibrahimsql bypass teamcity

Cisco ISE 3.0 Remote Code Execution 这篇文章描述了Cisco ISE 3.0中的一个远程代码执行（RCE）漏洞（CVE-2025-20124），该漏洞源于API中的Java反序列化问题。攻击者可通过构造恶意payload，在目标设备上执行任意命令。文章提供了详细的Python脚本示例，展示了如何利用此漏洞，并要求目标设备的会话令牌和特定命令作为输入参数。... 2025-8-11 20:50:8 | 阅读: 14 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com ise payload 20124 python3 ibrahmsql

SugarCRM 14.0.0 SSRF/Code Injection SugarCRM 14.0.0版本存在未正确清理输入的漏洞，允许远程未认证攻击者通过GET参数注入LESS代码并执行任意指令。攻击者可利用@import语句触发SSRF或读取服务器本地文件，可能导致敏感信息泄露。该漏洞影响所有商业版本低于13.0.4和14.0.1的SugarCRM。... 2025-8-11 20:49:39 | 阅读: 18 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com sugarcrm injection nexample ssrf egidio

Pandora ITSM Authenticated Command Injection Pandora ITSM 存在认证命令注入漏洞（CVE-2025-4653），通过备份功能中的 `name` 参数触发远程代码执行（RCE）。攻击者需具备管理员权限，默认密码或数据库访问可辅助获取权限。该漏洞影响 Pandora ITSM 企业版 5.0.105 及以下版本，在 5.0.106 中修复。... 2025-8-10 21:39:55 | 阅读: 16 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com pandora payload backup itsm client

henzhen Aitemi M300 Wi-Fi Repeater Unauthenticated RCE Shenzhen Aitemi M300 Wi-Fi Repeater 存在未认证远程代码执行漏洞 (CVE-2025-34152)，允许攻击者无需身份验证即可通过构造特定请求实现反向 shell 攻击。该漏洞不会影响设备配置或导致重启，适用于大规模自动化利用，并提供 Fofa 和 Shodan 搜索工具定位目标设备。... 2025-8-8 23:13:16 | 阅读: 19 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com proxyurl proxy client attacker m300

Malicious XDG Desktop File 该文章介绍了一个用于创建恶意XDG桌面文件的Metasploit模块。该模块生成的.desktop文件通常不受现代系统信任，在运行时会显示警告提示。某些桌面环境可能要求用户设置文件为可执行或标记为可信才能执行。... 2025-8-5 12:0:26 | 阅读: 23 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com malicious payload xdg gsub

VX Guestbook 1.07 SQL Injection VX Guestbook 1.07 存在SQL注入漏洞。攻击者可通过管理面板中的'Words Censor'功能利用word参数构造恶意请求，导致数据库信息泄露。该漏洞由tmrswrr于2025年8月2日披露。... 2025-8-5 11:58:40 | 阅读: 17 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com guestbook vx php injection 1477

Ultimate Control Receiver 1.2 Remote Code Execution 该漏洞存在于Ultimate Control Receiver v1.2中，允许攻击者通过TCP协议利用键盘输入功能，在目标机器上执行任意系统命令，无需用户交互。... 2025-8-5 11:56:55 | 阅读: 12 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com vk lwin windows sendall payload

Microsoft Virtual Hard Disk (VHDX) 11 Remote Code Execution 微软Windows 11中发现VHDX虚拟硬盘文件处理漏洞（CVE-2025-49683），攻击者可利用该漏洞通过恶意VHDX文件触发远程代码执行或系统重启。此漏洞源于文件解析时的软腐蚀错误处理不当，已发布PoC脚本演示攻击过程。... 2025-8-3 15:19:0 | 阅读: 45 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com vhdx corruption 49683 windows

Langflow 1.2.x Remote Code Execution (RCE) Langflow 1.2.x 存在未认证远程代码执行（RCE）漏洞，攻击者可通过 `/api/v1/validate/code` 端点利用 `exec()` 函数执行任意系统命令。该漏洞影响版本 <= 1.2.x，并附带 PoC 脚本进行验证。... 2025-8-3 15:18:19 | 阅读: 20 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com langflow payload remote 3248 urljoin

Microsoft Excel LTSC 2024 Remote Code Execution Microsoft Excel LTSC 2024存在远程代码执行漏洞（CVE-2025-47957），攻击者可通过恶意DOCX文件诱使用户执行代码，导致设备感染或严重损坏。建议禁用宏功能以防范此高危漏洞。... 2025-7-31 15:32:12 | 阅读: 24 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com microsoft docm ltsc machine