xEpan跨站请求伪造漏洞(CVE-2014-8429)

zfnh00

2014-11-27

关注关注

发布日期：2014-11-26
更新日期：2014-11-27

受影响系统：
xEpan xEpan <= 1.0.1
xEpan xEpan
描述：
BUGTRAQ ID: 71309
CVE(CAN) ID: CVE-2014-8429

xEpan是开源PHP CMS。

xEpan在创建新帐户时没有有效验证HTTP请求，未经身份验证的远程攻击者可引诱已经登录的管理员浏览恶意网页，利用此漏洞执行未授权操作。

<*来源：High-Tech Bridge Security Research Lab

链接：http://www.securityfocus.com/archive/1/534096
*>

建议：
厂商补丁：

xEpan
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.xepan.org/

漏洞 http请求

zfnh00

0 关注 0 粉丝 0 动态

关注关注

Win10累积更新下载紧急修复Kerberos认证系统漏洞

Win10补丁KB4579311导致开机黑屏怎么办?Win10怎么下载KB4579311升级至19042.572预览版?

82216135 2020-11-19

你的“人脸”正被贱卖！人脸识别的巨大漏洞？

购物时“刷脸”支付、用手机时“刷脸”解锁，进小区时“刷脸”开门……如今，越来越多的事情可以“刷脸”，用人脸识别技术来解决。近日发布的一份报告显示，有九成以上的受访者都使用过人脸识别，不过有六成受访者认为人脸识别技术有滥用趋势，还有三成受访者表示，已经因为人

kldy00 2020-10-29

Web安全：文件解析漏洞

PHP是用C语言编写的，MySQL则是用C++编写的，而Apache则大部分是使用C语言编写的，少部分是使用C++编写的。所以，文件解析漏洞的本质还是需要我们挖掘C语言、C++的漏洞。文件解析漏洞是指中间件在解析文件时出现了漏洞，从而攻击者可以利用该漏洞实

杜倩 2020-10-29

让自动驾驶撞墙，刷别人的脸付账：最新的AI漏洞让我们开眼界

那些专家们曾经担心过的 AI 算法漏洞是可以实现的，没想到过的也可以实现。本次大赛，有超过 600 支来自不同科技公司、大学的极客队伍报名参赛，最终有近 50 支在 10 月 24 日共同面向 500 万元奖金池发起了冲击。决赛开始之前，今年的 GeekP

baijingjing 2020-10-28

宝塔面板 phpmyadmin 未授权访问漏洞 BUG ip:888/pma的问题分析

群里突然有个管理员艾特全体说宝塔出漏洞了！宝塔 Linux 面板 7.4.2 版本和 Windows 面板 6.8 版本存在 phpmyadmin 未授权访问漏洞。漏洞未 phpmyadmin 未鉴权，可通过特定地址直接登录数据库的漏洞。一旦在早期版本安

theScoreONE 2020-08-23

Windows系统的Hyper-V 出现了严重的代码漏洞-利联科技

近日小编在使用利联科技的无锡BGP服务器升级系统补丁的时候发现了Hyper-V 严重的错误代码漏洞，后通过查看对方。Hyper-V是微软提出的一种系统管理程序虚拟化技术，能够实现桌面虚拟化。当主机服务器上的Hyper-V RemoteFX vGPU无法

85206633 2020-08-15

可修复 “BootHole” 漏洞的Linux Debian 10.5 发布。

Debian 10.5 已发布，这是 Debian 10 "Buster" 的第五个稳定版更新，修复了部分安全问题和 bug。近日据外媒报道，固件安全公司Eclypsium透露，数十亿Windows和Linux设备将会受到严重的GRUB

xiaoemo0 2020-08-09

Apache Solr velocity模板注入RCE漏洞

lionelf 2020-07-28

Windows远程服务出现严重的漏洞

近日小编在使用利联科技的杭州BGP服务器的Windows系统中发现了远程桌面服务的严重漏洞，后来在微软官网中查到了报错的公告。下面由小编来给大家讲解下。然后，***者可能会在杭州BGP服务器上安装程序。***者还可能破坏合法服务器，在其上托管恶意代码，然后

cunxinwenwu的IT 2020-07-20

极致CMS两处漏洞复现/存储xss/文件上传Getshell

根据一路追踪发现目录A是网站目录的后台文件，后端文件审计没问题来看看前端文件tql代码审计发现是问题出现在前端文件article-list.html内的问题191行这里这里没有实体化编码导致的后台存储xss漏洞输出函数未经过滤没有实体化编码。{field:

layloge 2020-07-05

无根容器浅析

无根容器与常规容器相同，区别在于它们不需要root即可形成。无根容器仍处于早期阶段，无根容器出现的原因有很多。添加新的安全层。如果容器运行时受到攻击，攻击者将无法获得主机的root特权。允许隔离嵌套容器。Linux内核的一项新开发使此方案成为可能，允许无特

haniux 2020-07-01

变革之下，“大数据安全”成数字化转型“必答题”

“数据”作为当今信息化时代的重要载体与工具，其安全性是直接决定未来全球数字化转型成功与否的关键命题。　　前段时间，据外媒报道：SAP旗下产品ASE数据库服务器被曝存在6个高危漏洞，其中之一的CVE-2020-6248威胁评分竟高达9.1!据悉，攻击者可利用

Bellboy 2020-06-28

无相劫指：Web安全之其他漏洞专题二-第八天

CSRF漏洞和XSS漏洞很像，但二者是有区别的，XSS容易被发现，攻击者要登录后台攻击，管理员可以发现，但CSRF是就是通过管理员来执行攻击的，攻击者只提供代码。在前端通过一些操作访问到一些后台数据信息，得到敏感信息例如内网地址，绝地路径，数据库，目录结构

ahnuzfm 2020-06-25

CVE-2019-0232漏洞复现

2019年4月11日，Apache官方发布通告称将在最新版本中修复一个远程代码执行漏洞，由于JRE将命令行参数传递给Windows的方式存在错误，会导致CGI Servlet受到远程执行代码的攻击。解压配置tomcat，运行startup.bat,如果这里

strburnchang 2020-06-21

GoCenter 的“火眼金睛” ——检测、报告并减少Go Module的安全漏洞

Golang开发者非常关心开发应用的安全性。随着Go Module应用越来越广泛，Golang开发者需要更多的方式来确保这些公共共享文件的安全。Golang1.13版本在创建Go Module时，通过增加go.sum文件来验证之后从GOPROXY再次访问到

重善奉行 2020-06-17

GoCenter 的“火眼金睛” ——检测、报告并减少Go Module的安全漏洞

重善奉行 2020-06-16

第四天——Web安全之文件上传漏洞专题.

上传到web服务器上，并进行解析运行上传的脚本木马，进而达到自己的目的。如果服务器的处理逻辑做的不够安全，则会导致严重的后果。如应用只能上传.doc文件时攻击者可以先将.php文件后缀修改为.doc，成功上传后在修改文件名时将后缀改回.php。个人理解

三动 2020-06-16

腾讯Wiz课程第三讲，文件上传漏洞的分析

如果上传文件的路径、文件名、扩展名都是用户可控的数据，然后木马脚本就会在web服务器上面搞事情。有问题是在文件上传之后，服务器的处理方式、解释文件如果出现了问题，就会导致错误，就是漏洞的来源。文件上传时候审查不严。webshell常常被称为入侵者通过网站端

bigNoseLiu 2020-06-15

dedecms cookies泄漏导致SQL漏洞 article_add.php 的解决方法

漏洞描述：dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie，同时在其他核心支付系统也使用了同样的cookie进行验证，黑客可利用泄漏的cookie通过后台验证，进行后台注入。

ALiDan 2020-06-11

fastjson<=1.2.47-反序列化漏洞-命令执行-漏洞复现

　　Fastjson 是阿里巴巴的开源JSON解析库，它可以解析 JSON 格式的字符串，支持将 Java Bean 序列化为 JSON 字符串，也可以从 JSON 字符串反序列化到 JavaBean。并且在Fastjson 1.2.47及以下版本中，利用

80337960 2020-06-10

安科网

xEpan跨站请求伪造漏洞(CVE-2014-8429)

zfnh00

zfnh00

相关推荐

Win10累积更新下载紧急修复Kerberos认证系统漏洞

你的“人脸”正被贱卖！人脸识别的巨大漏洞？

Web安全：文件解析漏洞

让自动驾驶撞墙，刷别人的脸付账：最新的AI漏洞让我们开眼界

宝塔面板 phpmyadmin 未授权访问漏洞 BUG ip:888/pma的问题分析

Windows系统的Hyper-V 出现了严重的代码漏洞-利联科技

可修复 “BootHole” 漏洞的Linux Debian 10.5 发布。

Apache Solr velocity模板注入RCE漏洞

Windows远程服务出现严重的漏洞

极致CMS两处漏洞复现/存储xss/文件上传Getshell

无根容器浅析

变革之下，“大数据安全”成数字化转型“必答题”

无相劫指：Web安全之其他漏洞专题二-第八天

CVE-2019-0232漏洞复现

GoCenter 的“火眼金睛” ——检测、报告并减少Go Module的安全漏洞

GoCenter 的“火眼金睛” ——检测、报告并减少Go Module的安全漏洞

第四天——Web安全之文件上传漏洞专题.

腾讯Wiz课程第三讲，文件上传漏洞的分析

dedecms cookies泄漏导致SQL漏洞 article_add.php 的解决方法

fastjson<=1.2.47-反序列化漏洞-命令执行-漏洞复现

zfnh00