漏洞描述
dst-admin是qinming99个人开发者的一个用 Java 语言编写的 web 程序。dst-admin 1.5.0版本存在命令注入漏洞,该漏洞源于文件home/sendBroadcast存在未知功能,通过参数message可以进行命令注入,攻击者可获取服务器权限。
dst-admin 饥荒管理后台 sendBroadcast 文件 message 参数远程命令执行漏洞(CVE-2023-0649)
PoC代码
暂无相关漏洞推荐
- Frappe /api/method/frappe.automation.doctype.auto_repeat.auto_repeat.generate_message_preview SQL 注入漏洞(CVE-2025-68929)
- POC CVE-2017-11107: phpLDAPadmin <= 1.2.3 - Reflected XSS
- POC keycloak-admin-console-config: Keycloak Admin Console Configuration Disclosure
- POC phpmyadmin-fpd: phpMyAdmin Full Path Disclosure
- POC wp-admin-menu-editor-fpd: Admin Menu Editor - Full Path Disclosure
- Smartadmin 简致微信管理系统默认口令漏洞
- WordPress Plugin Alone Theme /wp-admin/admin-ajax.php beplus_import_pack_install_plugin 文件上传漏洞(CVE-2025-5394)
- WordPress Time Clock 插件 /wp-admin/admin-ajax.php 代码执行漏洞 (CVE-2024-9593)
- (CVE-2025-15003)SeaCMS至13.3版本admin_video.php文件SQL注入漏洞
- WordPress wp-event-solution 插件 /wp-admin/admin-ajax.php 文件读取漏洞(CVE-2025-47445)
- POC wp-woocommerce-admin-fpd: WordPress Plugin WooCommerce Admin (woocommerce-admin) Full Path Disclosure
- go-ldap-admin /api/log/operation/list 权限绕过漏洞(CVE-2025-13948)
- POC cluster-trino-admin-login: Cluster Overview Trino - Admin Login