通过滥用同源方法绕过CSP安装WordPress插件,如果攻击者使用此漏洞在主域(例如:website1.com – 不是 WordPress)中发现 HTML 注入漏洞,他们可以使用 WordPress 端点将无用的 HTML 注入升级为可以升级执行的完整 XSS RCE
Read more标签: 漏洞
CVE-2022-26134 poc | Atlassian Confluence rce
CVE-2022-26134 poc | Atlassian Confluence rce,在受影响的 Confluence Server 和 Data Center 版本中,存在一个 OGNL 注入漏洞,该漏洞允许未经身份验证的攻击者在服务器上执行任意代码
Read moreHorde Webmail rce 通过发送电子邮件触发远程代码执行漏洞
Horde Webmail rce 通过发送电子邮件触发远程代码执行漏洞,发现的漏洞标号为 (CVE-2022-30287) 允许经过身份验证的 Horde 实例用户在底层服务器上执行任意代码,利用漏洞而无需受害者进一步交互:唯一的要求是让受害者打开恶意电子邮件。
Read moreCVE-2022-30190 poc MSDT RCE Follina 0day
CVE-2022-30190 poc MSDT RCE Follina 0day,事实证明,这是 Office 和Windows 中的零日漏洞(0day),exp,从Word等调用应用程序使用 URL 协议调用 MSDT 时存在远程代码执行漏洞
Read morefastjson 1.2.80版本反序列化漏洞poc
fastjson 1.2.80版本反序列化漏洞poc,fastjson已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全。
Read more