MetInfo weixinreply command injection

Added: 05/07/2026 Background MetInfo is an open-source content management system CMS written in PHP and MySQL developed in China. Problem A vulnerability in the weixinreply class allows remote attackers to execute arbitrary commands by sending an API request with specially crafted EventKey and...

PHPYUN最新版XML注入及SQL注入获取管理员账号（无视任何防御）

简要描述： 早上提交了个XML实体读取任意文件的，结果厂商说是数字被提交了，顿时无语了。 这里还有一个XML注入及SQL注入，如果说又是数字被提交了，我保证不在挖你们的漏洞了！！！ 详细说明： 首先我们来说一说$GLOBALS"HTTPRAWPOSTDATA"这个东东，他会吧POST过来的内容原封不动的传进来，所以phpyun的那些铜墙铁壁的防御也就没用了！！！ 还是文件：weixin/model/index.class.php XML实体注入： private function responseMsg $postStr = $GLOBALS"HTTPRAWPOSTDATA"; if...