CVE-2026-24061 telnet远程认证绕过 CVE-2026-24061 telnet远程认证绕过 漏洞概述 CVE-2026-24061是由环境变量引起的漏洞,GNU inetutils-telnetd 中的一个漏洞允许远程攻击者通过 telnet 选项绕过认证NEW_ENVIRON。通过发送包含“-f root”值的自定义USER环境变量,攻击者可以欺骗登录进程在没有凭证的情况下授予shell 2026-01-23 漏洞复现 33 Administrator
Apache Struts2 OGNL RCE注入 Apache Struts2 OGNL RCE注入 1.什么是Apache Struts2? Apache Struts2(也称为 Struts2)是一个开源的 Java Web 应用框架。 它主要用于构建企业级 Java EE Web 应用程序,提供 MVC(Model-View-Controller)架构支持,帮助开发者快速开发可维护的 Web 2026-01-16 漏洞复现 22 Administrator
Spring4Shell CVE-2022-22965原理及复现 Spring4Shell CVE-2022-22965原理及复现 Spring4Shell(正式编号为 CVE-2022-22965)是 2022 年 3 月底发现的一个存在于 Spring Framework 中的远程代码执行(RCE)高危漏洞。由于 Spring 框架在 Java 生态中的核心地位,该漏洞曾引发了全行业的广泛关注,被不少人拿来与之前的 Log4 2026-01-09 漏洞复现 4 Administrator
Redis 远程代码执行漏洞CVE-2025-49844 Redis 远程代码执行漏洞CVE-2025-49844 漏洞详情 Redis 是一个开源的使用 ANSI C 语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value 数据库,并提供多种语言的 API。 据官方描述,在 Redis 的 Lua 脚本引擎的垃圾回收机制中存在 Use After Free 漏洞,经过身份验证的远程攻击者可通过构造 2026-01-09 漏洞复现 7 Administrator
MongoDB漏洞复现(CVE-2025-14847) MongoDB漏洞复现(CVE-2025-14847) CVE-2025-14847(别名 MongoBleed)是一个高危的 MongoDB 服务器漏洞,已被野外广泛利用(CISA 已加入 KEV 目录)。 漏洞简介 CVE ID:CVE-2025-14847 别名:MongoBleed(类似于 Heartbleed 的内存泄露漏洞) 严重级别:高危( 2026-01-09 漏洞复现 7 Administrator
Log4j2-CVE-2021-44228漏洞复现 Log4j2-CVE-2021-44228漏洞复现 漏洞简介 漏洞概述 漏洞编号:CVE-2021-44228(Log4Shell) 影响组件:Apache Log4j2(Log4j 2.x 系列) 影响版本:2.0.0 ≤ Log4j2 ≤ 2.14.1 漏洞类型:JNDI 注入 → 远程代码执行(RCE) 危险等级:严重(CVSS 3.1: 10 2026-01-09 漏洞复现 6 Administrator
Fastjson反序列化漏洞(1.2.24版本) Fastjson反序列化漏洞(1.2.24版本) 漏洞简介 漏洞成因: 首先介绍一下fastjson是什么? Fastjson 是一个用于 Java 对象与 JSON 数据相互转换的库。 为什么会有这个漏洞呢? 原因是在低版本的fastjson中,默认开启了autotype选项,使得在反序列化json的时候,可以指定特定的类进行反序列化, 由于反序 2026-01-09 漏洞复现 8 Administrator
CVE-2025-55725 CVE-2025-55725 CVE-2025-55725 概述 Apache Tomcat作为一个开源的Web服务器和Servlet容器,在全球范围内被广泛应用于Java Web应用的部署和运行。其内置的RewriteValve组件是一个服务器端的URL重写引擎,允许开发者通过配置规则动态修改传入请求的URL地址,常用于实现重 2026-01-09 漏洞复现 6 Administrator
CVE-2025-55182的复现与修复 CVE-2025-55182的复现与修复 漏洞描述 该漏洞存在于 React Server Components 中,允许攻击者在未认证的情况下,通过精心构造的请求执行远程代码。其核心问题在于对用户输入的处理不当,导致攻击者可以操纵原型链、调用危险模块(如 vm、child_process 等)或通过文件操作实现间接代码执行 漏洞利用的核心 2026-01-09 漏洞复现 6 Administrator
CVE-2025-8088-winrar CVE-2025-8088-winrar 漏洞概述 7.12及以下版本的WinRAR软件存在目录穿越漏洞,在知道“用户文件夹名”或者其他信息的前提下,攻击者可以构造恶意压缩包,并诱导受害者解压,进而将恶意文件释放到任意位置(如开机启动目录,但需要满足权限要求),甚至获得目标的控制权限。2025年7月30日,WinRAR发布了针对该漏洞(编号 2026-01-09 漏洞复现 9 Administrator