技术栈
春秋云境
RisingFan
7 天前
漏洞复现
·
春秋云境
·
cve-2025-1040
【春秋云境】CVE-2025-1040 AutoGPT服务器端模板注入漏洞复现
AutoGPT 是一个开源的AI智能体开发部署平台。 受影响版本中,其 AgentOutputBlock 实现中存在漏洞,代码中直接使用了 jinja2.Environment,在处理用户输入的格式字符串时,默认未启用 Jinja2 的沙箱环境,导致恶意输入可以被传递到模板引擎中,攻击者可通过Jinja2 的 os、subprocess 等模块执行系统命令。
RisingFan
12 天前
漏洞复现
·
春秋云境
·
cve-2025–26319
【春秋云境】CVE-2025-26319 FlowiseAI未授权任意文件写入导致命令执行漏洞复现
FlowiseAI 是一款开源的低代码/无代码工具,用于快速构建基于大语言模型(LLM)的应用程序。版本<=2.2.6存在严重的系统任意文件上传漏洞,该漏洞存在于 Flowise 的 /арi/v1/аttасhmеntѕ 中,允许未授权的攻击者通过“知识上传”功能将任意文件上传到托管代理的服务器,此缺陷可能使攻击者能够通过上传任意恶意文件。
亿.6
1 年前
web
·
cve
·
春秋云境
春秋云境 CVE 复现
WP Statistics WordPress 插件13.2.9之前的版本不会转义参数,这可能允许经过身份验证的用户执行 SQL 注入攻击。默认情况下,具有管理选项功能 (admin+) 的用户可以使用受影响的功能,但是该插件有一个设置允许低权限用户也可以访问它。
我是有底线的