阿里云 OSS 域名劫持,当用户在阿里云上删除存储桶后,未删除域名解析的情况下,存在域名劫持的风险。
yonyou-u8-crm-eventsetlist-sqli
用友U8-CRM系统接口eventseteventsetlist.php存在SQL注入,未经身份验证的攻击者通过漏洞执行任意SQL语句。
hjsoft-searchCreatPlanList-sqli
宏景eHR searchCreatPlanList.do接口处存在sql注入漏洞,未经身份验证的远程攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。
SAP NetWeaver Visual Composer 元数据上传器未获得适当的授权保护,允许未经身份验证的代理上传潜在的恶意可执行二进制文件,从而可能严重损害主机系统。这可能会严重影响目标系统的机密性、完整性和可用性。
wanhu-ezoffice-selectAmountField-sqli
万户 ezOFFICE selectAmountField.jsp SQL注入
NetMizer 日志管理系统hostipreport接口处存在命令执行漏洞,未经身份验证的攻击者可通过该漏洞在服务器端任意执行命令,写入后门,获取服务器权限,进而控制整个web服务器。