Jellyfin是一个免费软件媒体系统。在10.7.1版之前的Jellyfin中，带有某些终结点的精心设计的请求将允许从Jellyfin服务器的文件系统中读取任意文件。当Windows用作主机OS时，此问题更为普遍。暴露于公共Internet的服务器可能会受到威胁。在版本10.7.1中已修复此问题。解决方法是，用户可以通过在文件系统上实施严格的安全权限来限制某些访问，但是建议尽快进行更新。缺点：路径名到受限目录的限制不当（“路径遍历”）该软件使用外部输入来构造一个路径名，该路径名旨在标识位于受限制的父目录下的文件或目录，但是该软件未正确中和该路径名

通过2.4.1的KLog Server允许经过身份验证的命令注入。async.php在源参数的原始值上调用shell_exec（）。劣势：命令中特殊元素的不适当中和（“命令注入”）该软件使用来自上游组件的外部影响的输入来构建命令的全部或部分，但是它不会中和或错误地中和了可能在将预期命令发送到下游组件时修改预期命令的特殊元素。CVE-2021-3317漏洞利用工具Al1ex / CVE-2021-3317官方CVE参考查看参考文献packetstormsecurity.com/files/161208/Klog-Server-2.4.1-Command-Injection.htmlunsafe-inline.com/0day/klog-server-authenticated-command-jectio

Apache OFBiz在06年12月17日之前具有不安全的反序列化。未经身份验证的攻击者可以使用此漏洞来成功接管Apache OFBiz。弱点：不可信数据的反序列化应用程序反序列化不受信任的数据，而没有充分验证结果数据将是有效的。CVE-2021-26295 漏洞利用yumusb / CVE-2021-26295yumusb / CVE-2021-26295-POCr0ckysec / CVE-2021-26295rakjong / CVE-2021-26295-Apache-OFBizltfafei / CVE-2021-26295_Apache_OFBiz_POCcoolyin001 / CVE-2021-26295官方CVE参考查看参考文献（8）packetstormsecurity.com/files/162104/Apache-OFBiz-SOAP-Java-Deseria

在1.06.01 Hotfix之前的D-Link DCS-2530L和通过2.02设备的DCS-2670L上发现了一个问题。未经身份验证的/ config / getuser端点允许远程管理员密码泄露。发布时间：2020年9月2日CVE-2020-25078漏洞利用MzzdToT / CVE-2020-25078

Git LFS 2.12.0允许远程执行代码。劣势：命令中特殊元素的不适当中和（“命令注入”）该软件使用来自上游组件的外部影响的输入来构建命令的全部或部分，但它不会中和或错误地中和了可能在将预期命令发送到下游组件时修改预期命令的特殊元素。发布时间：2020年10月28日CVE-2020-27955漏洞利用ExploitBox / git-lfs-RCE-exploit-CVE-2020-27955ExploitBox / git-lfs-RCE-exploit-CVE-2020-27955-Gor00t4dm / CVE-2020-27955williamgoulois / git-lfs-RCE-exploit-CVE-2020-27955-revshellWizZYou / git-lfs-RCE-exploit-CVE-2020-27955-revs

TPM设备驱动程序信息泄露漏洞发布时间：2021-01-12CVE-2021-1656漏洞waleedassar / CVE-2021-1656

Windows Win32k特权提升漏洞此CVE ID从CVE-2021-1698开始是唯一的。劣势：特权管理不当该软件无法正确分配，修改，跟踪或检查参与者的特权，从而为该参与者创建了意外的控制范围。发布时间：2020年12月2日CVE-2021-1732漏洞利用（4）KaLendsi / CVE-2021-1732-Exploitkkkkk / CVE-2021-1732ltfafei / CVE-2021-1732_exponeoy / CVE-2021-1732-Exploit

Git是一个开源的分布式修订控制系统。在受影响的Git版本中，包含符号链接以及使用干净/污迹过滤器（例如Git LFS）的文件的特制存储库可能会导致在克隆到不区分大小写的文件系统（例如NTFS）时执行刚刚签出的脚本，HFS +或APFS（即Windows和macOS上的默认文件系统）。请注意，必须为此配置清洁/污迹过滤器。Git for Windows默认情况下配置Git LFS，因此容易受到攻击。该问题已在2021年3月9日星期二发布的版本中得到修复。作为解决方法，如果在Git中禁用了符号链接支持（例如，通过`git config --global core.symlinks false`），则所描述的

ffay lanproxy 0.1允许目录遍历读取/../conf/config.properties以获得与Intranet连接的凭据。缺点：路径名到受限目录的限制不当（“路径遍历”）该软件使用外部输入来构造路径名，该路径名旨在标识位于受限制的父目录下的文件或目录，但是该软件未正确中和该路径名中的特殊元素，这些特殊元素可能导致该路径名解析为以下位置：在受限目录之外。CVE-2021-3019漏洞FanqXu / CVE-2021-3019B1anda0 / CVE-2021-3019liuxu54898 / CVE-2021-3019murataydemir / CVE-2021-3019projectdiscovery /核模板/cves/CVE-2021-3019.yaml

SonicWall SMA100中的经过身份验证的命令注入漏洞使经过身份验证的攻击者能够以“ nobody”用户身份执行OS命令。此漏洞影响SMA100版本10.2.0.5及更早版本。CVE-2021-20017漏洞CVE-2021-20017的漏洞没有公开可用。我们获得了针对CVE漏洞的N天漏洞利用，可用于法律安全研究和测试目的。功能强大且可靠的概念验证代码为重大漏洞提供了经济补偿。通过电子邮件查询我们的漏洞利用获取程序：hello@cvebase.com（PGP密钥）。