Student Record System 3.20 - 'id' Parameter Time-based Blind SQL Injection Student Record System 3.20 存在时间盲注 SQL 注入漏洞，通过 POST 参数 `id` 发送特定 payload 可触发 MySQL 的 SLEEP 函数导致后端延迟。该漏洞可远程利用，允许数据提取或认证绕过。修复建议包括使用预编译语句、输入验证和最小权限原则。... 2025-10-21 16:53:5 | 阅读: 9 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com php database 28select injection

Perfex CRM Chatbot Cross Site Scripting Perfex CRM 聊天机器人存在存储型跨站脚本（XSS）漏洞（CVE-2025-60374），允许攻击者注入恶意代码并存储于服务器，在其他用户查看聊天消息时执行。此漏洞可能导致会话劫持、数据泄露及账户接管等问题。建议升级至 3.3.1 及以上版本，并加强输入过滤和输出编码。... 2025-10-12 19:56:19 | 阅读: 128 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com chatbot perfex 60374 security php

DirectAdmin v1.680 DOM Injection via return-to Parameter DirectAdmin v1.680 存在 DOM 注入漏洞, 攻击者可通过 return-to 参数注入大量文本覆盖登录界面, 隐藏真实输入框, 并显示恶意内容进行钓鱼或窃取凭证。... 2025-10-9 20:0:46 | 阅读: 133 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com directadmin 680 attacker payload injection

SugarCRM unauthenticated Remote Code Execution (RCE) SugarCRM存在未认证远程代码执行漏洞（CVE-2023-22952），影响11.0和12.0部分版本。攻击者可通过上传恶意PNG文件，在服务器上执行PHP代码并控制系统。该漏洞无需认证，因loadUser()方法未正确销毁会话导致。... 2025-10-7 21:8:12 | 阅读: 14 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com php payload sugarcrm remote targeturi

GaatiTrack-1.0 Copyright©2025-Multiple-SQLi - Metasploit module GaatiTrack-1.0软件中发现email参数存在SQL注入漏洞，利用load_file函数读取外部文件，可执行多种攻击类型（布尔盲注、错误注入、时间盲注），Metasploit模块已提供修复方案。... 2025-10-7 21:7:14 | 阅读: 15 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com sqlmap payload gaati

CPAS Audit Management Information System 4.9 SQL Injection CPAS审计管理系统4.9版本存在SQL注入漏洞，攻击者可通过构造恶意请求执行任意SQL操作。该漏洞源于服务层直接拼接用户输入参数到SQL语句中。... 2025-10-5 15:36:24 | 阅读: 13 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com dah pagenum pagesize cpas

ERPNext 15.67.0 / Frappe 15.72.4 Cross Site Scripting ERPNext 15.67.0 和 Frappe 15.72.4 的 Blog 模块存在存储型 XSS 漏洞，允许用户通过 `content` 字段注入恶意 HTML/JavaScript 代码。攻击者可利用此漏洞在其他用户浏览器中执行脚本，导致信息泄露、会话劫持等风险。建议修复措施包括输入过滤、CSP 策略及权限限制。... 2025-10-5 15:33:48 | 阅读: 16 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com erpnext frappe github client

nopCommerce 4.40.3 - Stored Cross-Site Scripting (XSS) nopCommerce 4.40.3 存在存储型 XSS 漏洞，在产品名称字段可注入恶意脚本。利用 SVG 元素和混淆技术绕过过滤机制，在用户浏览时执行任意 JavaScript 代码。... 2025-10-1 20:54:33 | 阅读: 12 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com payload nopcommerce u0028 lter u0065rt

DirectAdmin v1.680 DOM Injection via return-to Parameter (UI Misrepresentation) DirectAdmin v1.680 存在 DOM 注入漏洞，攻击者可通过 `return-to` 参数反射用户输入至 DOM 中，导致 UI 篡改。注入的大量文本会覆盖原登录界面元素，隐藏用户名和密码字段，并显示攻击者控制的内容。此漏洞可被用于钓鱼或信息窃取，并可能被搜索引擎索引。无需认证即可通过 GET 请求触发攻击。... 2025-10-1 20:54:20 | 阅读: 14 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com directadmin 680 attacker payload

WordPress Quentn WP 1.2.8 Privilege Escalation 这篇文章介绍了一个针对WordPress插件Quentn WP 1.2.8的权限提升漏洞（CVE-2025-39596），提供了一个Python脚本来利用该漏洞创建管理员账户，并支持自定义参数和代理设置以绕过安全措施。... 2025-9-30 20:53:57 | 阅读: 13 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com nxploited vu payload lname b64

StoryChief Wordpress Plugin 1.0.42 Arbitrary File Upload StoryChief WordPress 插件版本 1.0.42 存在任意文件上传漏洞（CVE-2025-7441），CVSS 评分为 9.8。攻击者可通过构造特定请求将恶意文件（如 Webshell）上传至目标站点的 wp-content/uploads 目录下。... 2025-9-30 20:52:8 | 阅读: 14 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com wordpress php storychief wp 7441

Belkin F9K1009 F9K1010 2.00.04/2.00.09 Hard Coded Credentials Belkin F9K1009/F9K1010路由器存在硬编码凭证漏洞（CVE-2025-8730），允许攻击者通过预设用户名和密码（如admin/admin或特定序列）绕过身份验证，访问管理面板。... 2025-9-30 20:51:34 | 阅读: 129 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com 31m setopt curlopt exitsyscall 34m

FVGFL - Cross Site Scripting Vulnerability (XSS) FVGFL平台存在跨站脚本（XSS）漏洞，攻击者可通过特定参数注入恶意代码进行攻击。该漏洞由Mahdi Karimi发现，并提供了验证概念和演示链接。... 2025-9-27 11:24:56 | 阅读: 80 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com fvgfl karimi mahdi 3d0 onbegin

MatterMost information disclosure 文章描述了MatterMost的信息泄露漏洞（影响版本10.*及以下），攻击者通过Shodan查找目标后注册账户，并利用API端点获取自身信息、所有用户列表及特定用户的权限。... 2025-9-27 11:24:40 | 阅读: 17 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com attacker username mattermost 22x signup

Commvault CLI Argument Injection / Traversal / Remote Code Execution 该模块利用Commvault漏洞（CVE-2025-57790/91/88）实现未认证远程代码执行，影响Windows系统，在NETWORK SERVICE上下文中运行。... 2025-9-21 17:30:38 | 阅读: 21 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com vprint commvault localadmin blank

aaPanel 7.x.x Remote Command Execution aaPanel 7.x.x 存在远程命令执行漏洞（CVSS 9 分），允许攻击者通过操控 cron 作业注入并执行任意命令，完全控制服务器系统。... 2025-9-21 17:29:8 | 阅读: 18 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com aapanel ux remote subscore alasdair

sacco-1.0-Multiple-SQLi sacco-1.0系统中username参数存在SQL注入漏洞。测试显示提交单引号引发数据库错误，双引号使错误消失。使用'sleep(20)'payload导致响应延迟20秒，确认为高危-严重漏洞。... 2025-9-21 17:27:42 | 阅读: 17 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com sacco github username

Sitecore XP Post-Authentication File Upload 该文章描述了一个针对Sitecore XP平台的漏洞利用模块，利用CVE-2025-34511和CVE-2025-34509两个漏洞实现文件上传和远程代码执行。模块通过硬编码凭据登录并上传恶意脚本以获取权限。... 2025-9-14 16:43:46 | 阅读: 18 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com sitecore powershell elevated 20modules servicesapi

database.refugee-integration.bg - CORS-AOT vulnerability 该网站存在CORS配置错误漏洞，允许任意域访问并设置`Access-Control-Allow-Credentials: true`，导致敏感信息泄露或特权操作风险。... 2025-9-14 16:41:51 | 阅读: 16 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com database wp refugee bg db2

BarbarBaba-1.0 Copyright©2025-Multiple-SQLi 文章指出某沙龙管理系统中的`username`参数存在SQL注入漏洞，通过构造特定payload成功执行SQL查询读取外部文件，表明注入有效，属于高危漏洞。... 2025-9-14 16:41:28 | 阅读: 16 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com mayurik payload username tupaputka