2024HW护网漏洞汇总
7.22-7.23hw情报
#启明星辰天玥网络安全审计系统SOL注入漏洞
#蓝凌EKP存在sys ui component远程命令执行漏洞
#亿赛通数据泄露防护(DLP)系统NoticeAjax接口存在SQL注入漏洞
#天问物业ERP系统AreaAvatarDownLoad存在任意文件读取漏洞
#赛蓝企业管理系统ReadTxtLog存在任意文件读取漏洞
#赛蓝企业管理系统GetisFile存在任意文件读取漏洞#数字通指尖云平台-智慧政务payslip SQL注入漏洞
#通天星CMSV6车载定位监控平台disable存在SQL注入
#Analyticscloud 分析云存在任意文件读取漏洞
#网传天擎0day rce
#网传某康综合安防0day
#SuiteCRM responseEntryPoint存在SQL注入漏洞
#亿赛通数据泄露防护(DLP)系统NetsecconfigAjax接口存在SQL注入漏洞
#用友Nc querygoodsgridbycode存在SQL注入漏洞
#云课网校系统uploadImage存在任意文件上传漏洞
#NC系统blobRefclasssearch接口中pk org参数的SQL注入漏洞
#浪潮云财务系统存在命令执行
#通天星主动安全监控云平台远程代码执行漏
#H3C Workspace 云桌面 远程命令执行漏洞(XVE-2024-8180)
#致远 oA fileUpload.do 前台文件上传绕过漏洞指挥调度平台invite one member存在远程命令执行漏洞
#指挥调度平台invite one member存在SQL注入漏洞
#福建科立讯通信指挥调度管理平台ajax_users.php信息泄露漏洞(XVE-2024-17952)
#锐捷 RG-NBS2026G-P交换机WEB 管理ping.htm未授权访问漏洞
#用友U8 cloud Monitorservlet 存在反序列化漏洞
#浪潮云财务系统存在命令执行漏洞
#移动、天翼多款安全设备漏洞-任意文件读取漏洞
#致远 0A fileUpload.do 前台文件上传绕过漏洞(XVE-2024-8166)
#锐捷 RG-NBS2026G-P 交换机WEB 管理ping.htm未授权访问漏洞(XVE-2024-17942)
#北京筑业建设工程资料同步跟踪检查与流转交互云平台密码重置漏洞
#同鑫科技 EHR 系统全系列 SOL 注入漏洞
#金和 0A C6CreateGroup 接口注入漏洞
#H3C Workspace 云桌面 远程命令执行漏洞 0day
#润乾报表前台任意文件上传漏洞 0day
#建文工程管理系统 businessMangere SQL注入漏洞
#DedecMsV5.7.114后台article template rand.php存在远程代码执行漏洞
#DedecMsV5.7.114后台sys_verizes.php存在远程代码执行漏洞
#H3C路由器userLogin.asp信息泄漏漏洞
#LiveNVR流媒体服务软件接口存在未授权访问漏洞
#WebLogic远程代码执行漏洞(CVE-2024-21006)
#广联达0A接口Archivewebservice存在XML实体注入漏洞
#云课网校系统文件上传漏洞(DVB-2024-6594)
#全息AI网络运维平台ajax_cloud_router_config.php存在命令执行漏洞
#1Panel面板最新前台RCE漏洞(CVE-2024-39911)
#用友CRM客户关系管理系统import.php存在任意文件上传漏洞
#致远互联Analyticscloud分析云存在任意文件读取漏洞
#海洋CMS后台admin_smtp.php存在远程代码执行漏洞
#fogproject系统接口export.php存在远程命令执行洞(CVE-2024-39914)
#拼团需售商城系统前台任意文件写入漏洞
#蓝凌KEP前台RCE漏洞
#某自动发卡网alipay_notify.php存在SQL注入漏洞
#OfficeWeb365 saveDraw 任意文件上传漏洞
#赛蓝企业管理系统GetExce1lTemperature存在SQL注入漏洞
#SuiteCRM系统接口responseEntryPoint存在SQL注入漏洞(CVE-2024-36412)
#Netgear-WN604接口downloadFile.php信息泄露漏洞(CVE-2024-6646)
#泛微E-office-10接口leave record.php存在SQL注入漏洞
7.24hw情报
#泛微0A E-cology KtreeUploadAction 任意文件上传漏洞
用友GRP-U8 begindate sQL注入漏洞
天问物业ERP系统 AreaAvatarDownLoad.aspx 任意文件读取漏洞
#安全事件 浪潮软件科技有限公司-网站疑似被篡改
用友U8 CRM import.php文件上传
致远 0A fileUpload.do 前台存在文件上传绕过漏洞
数字通指尖云平台-智慧政务payslip SQL注入漏洞
Bazarr swaggerui 组件目录穿越导致任意文件读取漏洞
科讯校园一卡通管理系统 多处SOL注入致RCE漏洞
全息AI网络运维平台存在命令执行漏洞
迈普无线管理系统存在信息泄露
若依任意文件读取漏洞
海康威视综合安防管理平台前台RCE
7.26hw情报
百易云资产管理运营系统任意文件上传漏洞
广州图创图书馆集群管理系统-PermissionAc
华磊科技物流系统 modifyInsurance SQL注入漏洞
华天动力8A任意文件读取漏洞
赛蓝企业管理系统任意文件读取漏洞
用友NC-cloud blobRefclasssearch接口存在FastJson反序列化漏洞
SuiteCRM-SOL注入
拓尔思-TRSWAS5.0-PermissionAc蓝凌EKP存在sys ui component远程命令执行漏洞
SecsSL3600-PermissionAc
1sharp多功能打印机-PermissionAc
同享TXEHR人力管理管理平台-PermissionAc
万户ezoffice-soL
紫光电子档案管理系统-PermissionAc致远8A任意文件上传
飞讯云-WMS /MyDown/MyImportData前台SQL注入漏洞
金慧综合管理信息系统-SQL
九思BA任意文件上传
金蝶云星空-SOL
科荣-AI0-SOL
1LiveNVR-流媒体服务软件-PermissionAc
1livenvr-青杮视频管理系统-PermissionAc
7.27-7.29hw情报
资管云 comfileup.php 任意文件上传漏洞
用友U8cloud MeasurequeryframeAction SQL注入漏洞
亿华考勤管理系统unloadfile任意文件上传漏洞
安恒-下一代防火墙-RCE
网传-通达OA SQL
浪潮GS企业管理软件xtdysrv.asmx存在命令执行洞
帆软报表Finevis数据可视化插件任意文件写入漏洞
影响版本:FineVis插件version<2.9.0.2,注意:帆软最新版本默认安装该插件的2.9.8版本,因此帆软最新版本受影响
联软安渡UniNxG安全数据交换系统存在SQL注入漏洞
数字通存在前台任意登录
万户网络-ez0FFICEgetAutocode.jsp存在SQL注入
广达0A系统/m/mobileAction.ashx/do.asmx接口存在洞
外界传言山石网科堡垒机有0day,消息暂已确认,
7.26更新山石产品线回复:
天翼云aday漏洞在2023年已经给过修复包,此漏洞涉及的天翼云所有版本,可以升级修复包修复,研发确认除天翼云外的其他版本没有此漏洞,修复包:upgradeiamhillstone112huwang20230888.tar.gz。且该漏洞已在官网提示,https://www.hillstonenet,com.cn/security-notification/2823/11/23/ycdmold/今年又被爆出堡垒机有该漏洞,是去年某些用户未升级导致。
广联达GEPS企业项目管理系统远程代码执行漏洞
泛微-E-Cology-SOL漏洞描述:
该漏洞是由于泛微e-cology未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现 SQL 注入漏洞。
影响版本:泛微E-Cology9< 10.65.8
1ogic-Datacube3测量系统-RCE
创客需售商城系统存在文件上传漏洞
科荣AIO管理系统 moffice存在SQL注入漏洞
用友NC-Cloud blobRefclasssearch接囗存在FastJson反序列化漏洞
7.30hw情报
宏脉医美行业管理系统 DownLoadserverFile 任意文件读取漏洞
用友NC系统接口UserAuthenticationservlet反序列化RCE漏洞
(0day预警)群杰印章物联网管理平台文件上传/RCE
已有单位被打,溯源是文件上传漏洞,抓到上传内存马,但是连接的时候404,对方ping了dns,成功
用友 畅捷通远程通 GNRemote.dll SQL注入漏洞
7.31hvv情报
同享人力资源管理系统-TXEHR V15 DownloadTemplate文件读取漏洞
Craft CMS SOL注入漏洞(CVE-2024-37843)
浪潮云财务系统xtdysrv.asmx远程代码执行漏洞
(0day预警】积木报表RCE aday接口为积木报表组件自带接口,该接口正常访问会提示没有权限,利用mLink=vFhfHxiYmI=可以绕过权限校验,在绕过权限校验后,可在请求体中注入内存马,以获取服务器权限。
8.1hvv情报
方天云智慧平台系统 GetcompanyItem SQL注入漏洞
用友u9 DoQuery sQL注入漏洞
泛微0A E-cology setup 信息泄露漏洞
搜狗输入法简单绕过windows锁屏机制
win10还是win11,只要是下载搜狗输入法就可以触发漏洞,原理是输入法存在“游戏中心"模块,通过该模块可引导下载软件,通过下载软件时,保存下载的下载框可以弹出windows的cmd目前影响版本sogou pinyin 14.7a其余版本有的可以成功有的成功不了。
用友u8-cloudESBInvokerservlet存在反序列化漏洞
甄云SRM云平台SpEL表达式注入漏洞
因酷教育平台未授权RCE
EKing-管理易FileUpload.ihtm存在文件上传致RCE漏洞
万户ez0FFICE协同管理平台getAutocode.jsp存在SQL注入漏洞
8.2hvv情报
D-link DIR-600存在命合注入(CVE-2024-7357)
泛微E-Cology系统deleteRequestInfoByXml存在XXE漏洞【老洞】
微软漏洞导致大量三方输入法存在绕过windows锁屏机制实现近源攻击
【0day】东北师大理想软件股份有限公司智慧教育云平台任意用户登录漏洞
【0day】用友NC-c1oud系统show***ent接囗权限绕过SQL注入漏洞
朗新天霁人力资源管理系统GetMessage存在SQL注入漏洞
满客宝智慧食堂预定系统selectuserByorgId未授权访问漏洞
满客宝后台管理系统downloadwebFile任意文件读取漏洞
后业云运维平台未授权管理员用户创建
JeecgBoot-企业级低代码平台-XSS
群杰印章物联网管理平台密码重置漏洞
LiveBos UploadFile.do 接囗存在任意文件上传漏洞
契约锁电子签章平台edits远程代码执行漏洞
用友时空KSOA fi11KP.jsp SQL注入漏洞
用友时空KSOA PrintzpyG.jsp sQL注入漏洞
8.3-8.5hvv情报
致远互联FE协作办公平台apprvaddNew存在SQL注入漏洞
用友u8-cloud系统ESBInvokerservlet存在反序列化漏洞
海康威视综合安防管理平台config.properties信息泄露
亿华考勤管理系统unloadfile任意文件上传漏洞
赛蓝企业管理系统任意账号登录
通天星CMSV6用户SESSION伪造漏洞
泛微Hrmservice存在SQL注入漏洞
广州图创-图书馆集群管理系统-PermissionAcD-1ink-DIR-600存在命令注入
喰星云·数字化餐饮服务系统not_out_depot存在SQL注入漏洞
panabit日志审计系统sprog upstatus存在SQL注入漏洞
SpringBlade系统menu接口存在SQL注入漏洞
铭飞MCMS 远程代码执行漏洞
JeecgBoot反射型XSS漏洞
eking管理易FileUpload接口存在任意文件上传漏洞
杭州雄威餐厅数字化综合管理平台存在存在绕过认证导致任意密码重置漏洞
用友U9系统DoQuery接口存在SQL注入
用友时空KSOA系统接口PrintzP.jsp存在SQL注入漏洞
用友时空KSOA系统接口PrintzpyG.jsp存在SQL注入漏洞
用友时空KSOA系统接口fi11KP.jsp存在SQL注入漏洞
积木报表JeecgBoot被爆存在.net反序列化RCE 0day漏洞
锐捷-EG易网关存在RCE漏洞
Linux 内核受到新的 sLUBstick 跨缓存攻击的影响
百易云资产管理运营系统comfileup.php文件上传漏洞
WIFISKY-7层流控路由器RCE漏洞
真内控国产化开发平台preview任意文件读取漏洞
致远互联FE协作办公平台apprvaddNew存在SQL注入漏洞
8.6hvv情报
邦永PM2项目管理系统ExcelIn任意文件上传
上海普华科技发展股份有限公司PowerPMs存在SQL注入漏洞
同享TXEHR V15人力管理管理平台strcardNo存在SQL注入漏洞
PEPM系统cookie请求头存在远程代码执行漏洞
网神secssL3600任意密码重置
8.7hvv情报
BladeX企业级开发平台notice/list存在SQL注入漏洞
Apache oFBiz授权不当致代码执行漏洞(CVE-2024-38856)
D-link-DI-8100远程命令执行洞(CVE-2024-7436)
亿赛通电子文档安全管理系统/cDGServer3/CDGAuthoriseTempletService1 SQL注入漏洞
上海普华科技发展股份有限公司PowerPMs接口APPGetUser存在 SOL注入
海康威视综合安防管理平台 clusters任意文件上传漏洞
云时空社会化商业ERP系统online接口存在身份认证绕过漏洞
联软UnisDP零信任访问控制系统jwt token泄露
翼企云网盘open-info存在远程命令执行漏洞
IP 网络广播服务平台任意文件上传漏洞
亿赛通电子文档安全管理系统Usersservice存在序列化漏洞
H3CiMC智能管理中心远程代码执行漏洞
弥特全流程追溯系统存在SQL注入漏洞
驰聘BPM前台任意文件上传漏洞
公众号无限回调系统ajax.php SQL注入漏洞
PowerPMS APPGetUser接囗SQL注入漏洞
8.8hvv情报
多客圈子论坛系统upload.php任意文件上传
LiveBos UploadFile.do 任意文件上传漏洞
8.9-8.12hvv情报
海康威视综合安防管理平台detection前台RCE漏洞
广联达reportservlet任意文件读取漏洞
指挥调度平台inviteone member存在远程命令执行漏洞
润乾报表datasphereservlet前台任意文件上传漏洞
云课网校系统uploadmage存在任意文件上传漏洞
亿赛通电子文档安全管理系统NoticeAjax接口存在SQL注入漏洞
易宝0A存在Basicservice存在任意文件上传漏洞
捷诚管理信息系统 SQL注入漏洞
用友NC-cloud 远程代码执行漏洞
用友Nc querygoodsgridbycode存在SQL注入漏洞
金和0Aupload json.asp存在任意文件上传漏洞
蓝凌EIS智慧协同平台UniformEntry.aspxsq1注入漏洞
华天动力0A前台远程命令执行漏洞
亿赛通数据泄露防护(DLP)系统NetsecconfigAjax接口存在SQL注入漏洞
通天星CMSV6车载定位监控平台disable存在SQL注入
Analyticscloud 分析云存在任意文件读取漏洞
全息AI网络运维平台存在命令执行漏洞
数字通云平台智慧政务0A PayslipUser SQL注入漏洞
天玥网络安全审计系统 SQL 注入漏洞
NetgearWN604 信息泄露漏洞
FoG Project系统接囗export.php存在远程命分执行漏洞
海洋CMS后台admin smtp.php存在远程代码执行漏洞
福建科立讯通信指挥调度管理平台ajax users.php SQL 注入漏洞
天问物业ERP系统AreaAvatarDownLoad.aspx任意文件读取漏洞
易宝OA 存在Basicservice存在任意文件上传漏洞
满客宝智慧食堂系统downloadWebFile任意文件读取漏洞
8.13hvv情报
同享人力资源管理系统 hdluploadFile.ashx任意文件上传漏洞
乙赛通电子文档安全管理系统 SecureUsbconnection反序列化漏洞
万户ez0FFICE graph include.jsp SQL注入漏洞
契约锁电子签章平台/param/edits远程代码执行漏洞
致远0A thirdpartycontroller接囗身份鉴别绕过漏洞
万户ez0FFICE协同管理平台getAutocode SQL 注入漏洞
用友U8 cloud BusinessRefAction存在SQL注入漏洞
8.14hvv情报
用友U8 cloud 反序列化 cacheInvokeservlet RCE
用友U8-cloud BusinessRefAction SQL注入漏洞
福建科立讯指挥调度管理平台event/uploadfile.php接口任意上传
Apache Tomcat 存在信息泄露漏洞(CVE-2024-21733)影响范围:
ApacheTomcat9.0.0-M11-9.0.43
ApacheTomcat8.5.7-8.5.63
参考链接:https://github.com/adysec/nuclei poc/blob/4815f8becba3eccffa18308
处置措施:目前该漏洞已经修复,受影响用户可升级到以下版本:
Apache Tomcat >= 9.0.44
Apache Tomcat >= 8.5.64
CVE-2024-38189 Microsoft Project 远程代码执行漏洞
CVE-2024-38107 Windows Power Dependency coordinator 权限提升漏洞
CVE-2024-38106 windows Kernel 权限提升漏洞
CVE-2024-38213 windows Mark of the web 安全特性绕过漏洞
CVE-2024-38193 Windows Ancillary Function Driver for Winsock 权限提
CVE-2024-38178 脚本引擎内存破坏漏洞
Windows TCP/IP 远程执行代码漏洞
漏洞描述:未经身份验证的攻击者可以反复向Windows计算机发送IPv6数据包,其中包括精心编制的数据包,这可以实现远程代码执行。
影响范围:全版本
创客零售商城系统存在文件上传漏洞
金和0A jc6 viewconTemplate.action存在FreeMarker模板注入漏洞
后业云运维平台未授权创建管理员用户漏洞
泛微ecology /cloudstore/ecode/setup/接口存在信息泄露漏洞
群杰印章物联网管理平台rest密码重置漏洞
LiveBos UploadImage.do接囗任意文件上传漏洞
严重 SAP 漏洞可使远程攻击者绕过身份验证
8.15hvv情报
WookTeam searchinfo SOL注入漏洞
泛微E-office10 schema_mysql SQL敏感信息泄露漏洞
喰星云-数字化餐饮服务系统shelflife.php SQL注入漏洞
亿赛通电子文档管理系统secretKeyService SQL注入漏洞
飞企互联 FE 协作办公平台 SOL 注入漏洞
泛微 E-Cology XmlRpcServlet 文件读取漏洞
Xinhu RockoA v2.6.2存在SQL注入漏洞
安美数字酒店管理系统远程命令执行漏洞
赛蓝-企业管理系统-SQL注入
用友NCfileupload命令执行漏洞
致远0A constDef接口 代码执行漏洞
TOTOLINK 账号密码敏感信息泄漏漏
洞捷诚管理信息系统 SQL注入漏洞
WIFISKY-7层流控路由器RCE漏洞赛蓝企业管理系统任意账号登录
泛微E-Cology ReceiveCCRequestByXml接囗XXE漏洞
蓝凌EIS智慧协同平台UniformEntry.aspx存在SQL注入漏洞
通天星CMSV6用户SESSION伪造漏洞
8.16hvv情报
Panalog日志审计系统 sprog_upstatus.php SQL注入漏洞
用友移动管理系统uploadApk.dopk_obj存在任意文件上传漏洞
红帆oA iorepsavexml.aspx文件上传漏洞
Microsoft Project 远程执行代码漏洞 CVE-2024-38189)
万户 ez0FFICE download_ftp.jsp 任意文件下载漏洞
WordPress Dokan Pro 插件未授权SQL注入
FOG敏感信息泄露(CVE-2024-41108)
H3C-iMC智能管理中心/byod/index.xhtml命令执行漏洞
8.17-8.19hvv情报
瑞友天翼应用虚拟化系统consoleExternalApi SQL注入文件写入漏洞
天问物业ERP系统P1anDownLoad任意文件读取漏洞
Panabit panalog任意用户创建漏洞和后台命令执行
用友crm客户关系管理help.php存在任意文件读取漏洞
ZoneMinder存在SQL注入漏洞
章管家1istUploadIntelligent.htm存在SQL注入漏洞
Dedecms接口sys_verifies.php存在任意文件读取漏洞
WookTeam接日searchinfo存在SQL注入漏洞
智慧校园(安校易)管理系统FileUpAd.aspx存在文件上传漏洞
方天云智慧平台系统setImg.ashx存在文件上传漏洞
智互联(深圳)科技有限公司SRM智联云采系统download存在任意文件读取洞智
能停车管理系统ToLogin存在SQL注入漏洞
东华医疗协同办公系统templateFile存在任意文件下载漏洞
用友 u8cloud uapbd.refdef.query SQL 注入漏洞
用友U8-CRM接日exportdictionary.php存在SQL注入漏洞
科荣AIO管理系统endTime参数存在SQL注入漏洞
AVCON-系统管理平台download.action存在任意文件读取漏洞
红海EHR系统pc.mob存在SQL注入漏洞
宏景HCM SQL注入漏洞
用友NC-nc.uap.lfw.file.FileManager存在任意文件上传漏洞
泛微E-office-10接口leave_record.php存在SQL注入漏洞
喰星云-数字化餐饮服务系统SQL注入漏洞
华平信息AVCON系统管理平台download.action未授权任意文件读取漏洞
华平信息AVCON网络视频服务系统editusercommit.php任意用户重置密码漏洞
金斗云HKMP智慧商业软件queryPrintTemplate未授权SQL注入漏洞
杭州三-谦成科技 车辆监控服务平台 platformsq1 未授权 SQL注入漏洞
Vmware SpringFramework SPEL表达式 拒绝服务漏洞(CVE-2024-38808)
Vmware SpringFramework 拒绝服务漏洞(CVE-2024-38809)
8.20hvv情报
科荣AIO管理系统endTime参数存在SQL注入漏洞
用友 NC FileManager 任意文件上传漏洞
泛微网络e-cology H2JDBC需授权代码注入漏洞
用友NC接口/psnImage/download存在SQL注入漏洞
东华医疗协同办公系统templateFile未授权任意文件读取漏洞
方天科技方天云智慧平台系统setImg.ashx未授权任意文件上传漏洞
方正信息畅享全媒体新闻采编系统syn.do未授权敏感信息泄露漏洞
华夏ERPV3.3存在信息泄漏漏洞
万户ez0FFICE协同管理平台receivefile_gd.jsp存在SQL注入漏洞
奥威亚云视频平台UploadFile.aspx存在文件上传漏洞
JieLink+智能终端操作平台GetParkInThroughDeivces存在敏感信息泄露漏洞
JieLink+智能终端操作平台GetDataList存在敏感信息泄露漏洞
JD Edwards Enterpriseone Tools管理员密码泄漏
亿赛通电子文档安全管理系统getA1lusers存在信息泄露漏洞
赛蓝企业管理系统SQL注入
章管家SQL注入
用友u8cloud反序列化和SOL注入漏洞
智慧校园管理系统任意文件上传
Report开源数据大屏-RCE
1Panel面板前台RCE漏洞
红海云eHR kgFile.mob 任意文件上传漏洞
科拓全智能停车视频收费系统cancelldList存在SQL注入漏洞
华磊科技物流modifyInsurance存在sq1注入漏洞甄云-SRM云平台 -JNDI注入
瑞斯康达智能网关1ist base_config.php接口存在任意文件上传漏洞
开源-Webuserlogin-RCE
云时空-社会化商业ERP系统-信息泄露紫光-电子档案管理系统-日志泄露
润申信息-企业标准化管理系统-SQL注入
喰星云-数字化餐饮服务系统-SOL注入
DedecMs--任意文件读取
泛微-E-0ffice-InformationLeakage 信息泄露
开源-ZoneMinder-SQL注入
天清汉马vpn任意文件读取漏洞
赛蓝-企业管理系统-SQL注入
上海建业信息科技股份-章管家-SOL注入
上海建业信息科技股份-章管家-PermissionAc任意密码重置
银达云创-智慧校园管理系统-任意文件上传
Report开源数据大屏-RCE
安美数字酒店宽带运营系统-任意文件读取
用友U8cloud Actionservlet SQL注入漏洞
用友U8 CRM import.php文件上传漏洞
H3C-iMC智能管理中心-RCE
开源-短视频直播打赏系统-SSRF
开源短视频直播打赏系统任意文件上传
USDTAdmin-收款管理系统-SQL注入
USDTAdmin-收款管理系统-PermissionAc
用友-CRM客户关系管理系统-任意文件读取
中成科-信票务管理系统-SQL注入
大华-DDs数字监控系统-SQL注入
H3C-iMC智能管理中心-RCE
H3C-SecPath下一代防火墙-任意文件上传
金斗云-HKMP智慧商业软件-SQL注入
8.21hvv情报
AJ-Report接口绕过数据源信息泄露漏洞
中科聚网一体化运营平台catchByUrl接口存在文件上传漏洞
SEH utnserver未授权访问漏洞(CVE-2024-5421)
建文工程管理系统BusinessManger.ashx存在SQL注入漏洞
创客13星需售商城系统前台任意文件上传漏洞
华磊科技物流getorderTrackingNumber存在SQL注入漏洞
WVP视频平台(国标28181)未授权SOL注入漏洞
猎鹰安全(金山)终端安全系统V9远程代码执行漏洞
TBK DVR硬盘录像机 device.rsp命令执行漏洞
FFmpeg严重堆湓出漏洞CVE-2024-7272
ZZCMS未授权文件读取漏洞
正方移动信息服务管理系统Mobile fjuploadByType.html文件上传漏洞
FastAdmin任意文件读取漏洞CVE-2024-7928
超易企业管理系统存在SOL注入漏洞
哲霖NUS-M9机械行业ERP管理软件后台存在任意文件上传
哲霖NUS-M9机械行业ERP管理软件存在任意文件读取
哲霖NUS-M9机械行业ERP管理软件存在SQL注入漏洞
汇智企业资源管理系统存在文件上传漏洞
SeaCMSV13接口admin files.php代码注入漏洞
SeaCMSV13接口admin editplayer.php代码注入漏洞
同享TXEHR V15人力管理管理平台SFzService.asmx存在SOL注入漏洞
车辆监控服务平台platformsq1存在SQL注入漏洞
赛蓝企业管理系统GetImportDetailJson存在SQL注入漏洞
九思0A接口WebserviceProxy存在XXE漏洞0day
吉林某医药系统存在SQL注入漏洞
泛微 e-cology H2远程命令执行漏洞openMetadata远程命令执行漏洞
8.22hvv情报
Jielink+智能终端操作平台ParkoutRecord信息泄露漏洞
LiveGBs list 未授权访问漏洞
金斗云HKMP智慧商业软件queryPrintTemplate存在SQL注入漏洞
金和网络股份有限公司C6协同管理平台DBModules.aspx存在SQL注入漏洞
金和0A jc6 clobfield SQL注入漏洞
友时空KSOA PreviewKPoT.jsp接囗处存在SOL注入漏洞
明源云ERP接口Apiupdate.ashx文件上传漏洞
泛微 E-Cology BlogService 存在SQL注入漏洞
TVT DVR接口queryDevInfo存在信息泄漏
深圳智互联科技有限公司-SRM智联云采系统-任意文件读取
开源-智能停车管理系统-SQL注入
方正-畅享全媒体新闻采编系统-InformationLeakage
Avcon-网络视频服务系统-PermissionAC
亿赛通-电子文档安全管理系统-RCE
山石网科WAF 远程代码执行漏洞
智联云采-SRM2.8-任意文件读取
用友-Nc /portal/pt/link/content 接口存在SQL注入漏洞
用友-Nc /portal/pt/psnImage/download 接口SQL注入
F6-14泛微-E-Cology-RCE
银达汇智智慧校园(安校易)管理系统 Receiveclassvideo 任意文件上传漏洞
赛蓝企业管理系统GetImportDetai1json存在SQL注入漏洞
九思0A接囗WebserviceProxy存在XXE漏洞
瑞斯康达多业务智能网关多个版本vpn template_style.php存在未授权命令注入漏洞
瑞斯康达多业务智能网关多个版本list_vpn_web_custom.php存在未授权命令注入漏洞
瑞斯康达多业务智能网关多个版本1ist ip_network.php存在未授权命令注入漏洞
瑞斯康达多业务智能网关多个版本1ist service manage.php存在未授权命令注入漏洞
MoticDsM--任意文件读取
开源-微商城系统-任意文件上传
开源-微商城系统-SOL注入
0day漏洞预警在野利用海翔ERP SOL注入漏洞
Apache HertzBeat接囗import存在RCE漏洞
Apache HertzBeat接囗import存在RCE漏洞
赛蓝企业管理系统GetImportDetailJson存在SQL注入漏洞
8.23hvv情报
汇智企业资源管理系统存在文件上传漏洞
山石网科web 应用防火墙(WAF)远程命令执行漏洞
0racle JDEdwards Enterprise0ne Tools未授权获取管理员密码泄漏
Bladex企业级开发平台usual/list存在SQL注入漏洞
Bladex企业级开发平台notice/list存在SQL注入漏洞
方天云ERP系统Getsal0uatation存在SQL注入漏洞
TOTOLINK-A3700R未授权访问漏洞
通天星CMSV6车载视频监控平台SESSION伪造漏洞
lollms-webui存在SOL注入(CVE-2024-1601)
W&B Weave服务器远程任意文件泄露及权限提升(CVE-2024-7340)
0racle JDEdwards Enterprise0ne Tools未授权获取管理员密码泄
LiveGBs部分接口存在未授权访问导致,可以通过组合漏洞修改任意用户密码
1ielink+智能终端操作平台parkoutRecord接口处存在敏感信息泄露漏洞、恶意攻击者可能会利用此漏洞修改数据库中的数据,例如添加、删除或修改记录、导致数据损坏或丢失
泛微E-cology8 deleteRequestInfoByXm1存在XXE漏洞
Atlassian Bamboo 远程代码执行漏洞(CVE-2024-21689)
8.24-8.26hvv情报
同享人力资源管理系统-TXEHR V15 GetEmployeeBySFZ接口存在SQL注入漏洞
LiteLLM SSRF漏洞(CVE-2024-6587)
金和0A DBModules.aspx SQL注入漏洞
H3C IMC智能管理中心存在远程代码执行漏洞
Apache-HTTPServer-身份验证绕过
大华智慧园区综合管理平台-wpms SQL注入
CVE-2024-28995 Solarwinds Serv-U任意文件下载漏洞
CVE-2024-36837 CRMEB电商管理系统存在SQL 注入漏洞
CVE-2024-36401 Geoserver 未授权远程代码执行洞
CVE-2024-22120 Zabbix Server SQL注入漏洞
nginxWebUI(v4.2.2)RCE
南京星源图科技sparkshop存在任意文件上传漏洞
有云管理平台存在登录绕过漏洞
致远M1移动端management存在未授权访问
致远互联-分析云-逻辑漏洞
AspCMS存在SOL注入漏洞
Mtab书签导航程序 Linkstore/getIcon 接口存在SQL注入漏洞
龙腾-CMS-PermissionAC
龙腾-CMS-任意文件读取
龙腾-CMS-SSRF
开源-Atmai1 存在SQL注入漏洞
Journyx软件soap_cgi.pyc接口存在XML实体注入漏洞
JeecgBoot-企业级低代码平台-JNDI注入
Alien-ALR-F800-反序列化RCE
在信呼0A系统2.6.2版本的/webmain/task/openapi/openmodhetongAction.php文件中,存在一个前台SQL注入漏洞
中科聚网一体化运营平台文件上传漏洞
某信内置浏览器 1 click RCE
8.27hvv情报
世邦通信SPON-IP网络对讲广播系统 busyscreenshotpush.php任意文件上传漏洞
用友U8cloud系统接口MeasureQResultAction存在SQL注入漏洞
亚控科技KingPortal开发系统 getconfigInfo 信息泄露漏洞
银河麒麟桌面操作系统某组件本地提权漏洞
LiveBos-灵动业务架构平台-任意文件上传
瑞斯康达-多业务智能网关 1ist service manage.php 存在远程命令执行漏洞
SeacMs海洋影视管理系统index.php存在SOL注入漏洞
正方-移动信息服务管理系统-存在任意文件上传漏洞
用友畅捷CRMnewleadset.php处存在SQL注入漏洞
开源-业务管理系统-InformationLeakage
开源-IP网络广播服务平台-存在任意文件上传漏洞
ApacheoFBiz授权不当致代码执行漏洞(CVE-2024-38856)
科荣-AIO-远程代码执行RCE
建文-工程项目管理软件-存在任意文件读取漏洞
PerkinElmer-ProcessPlus-存在任意文件读取漏洞
D-LINK-DI-8180-远程代码执行RCE
驰骋-CCFlow-存在SQL注入漏洞
Calibre--存在任意文件读取漏洞
全程云0A接口UploadFile存在任意文件上传漏洞
停车场后台管理系统GetPasswayData存在SQL注入漏洞
畅捷通CRM接口newleadset.php存在SQL注入漏洞
用友U8 Cloud接囗MeasureoResultAction存在SOL注入漏洞
六雾导航页存在SSRF漏洞
Calibre存在远程代码执行漏洞RCE
AcuToWeb存在反射XSS漏洞
Typecho存在SSRF漏洞
全程云0A接口UploadFile存在任意文件上传漏洞
用友U8 cloud接囗MeasureQResultAction存在SQL注入漏洞
万户 0A selectcommentField.jsp SQL 注入漏洞
CVE-2024-20931:Weblogic JNDI注入远程命令执行漏洞
泛微E-Cology9 ModeDateservice 前台SQL注入漏洞
金和0A DBModules.aspx SQL注入漏洞
金和0A signUpload.ashx SQL注入漏洞
同享eHR人力资源管理系统 SFzService.asmx SQL注入漏洞
灵当CRM uploadfile 任意文件写入漏洞
Next.js/ next/imagessRF漏洞CVE-2024-34351
8.28hvv情报
赛蓝企业管理系统 systemModule 任意文件上传漏洞
Ivanti vTM 身份认证绕过漏洞(CVE-2024-7593)
泛微0A E-Cology action.jsp 任意文件上传漏洞
用友FE协同平台uploadFile.jsp存在文件上传漏洞
亿赛通科技发展有限责任公司亿赛通电子文档安全管理系统存在SQL注入漏洞new-system5.6.2
商已提供漏洞修补方案,建议用户下载使用:https://update.nsfocus,com/update/listcdgpetail/v/cdg82-oldhttps://update.nsfocus.com/update/listcdgpetail/v
YonBIP存在命令执行漏洞
锐明技术crocus系统common.do存在SQL注入漏洞
众诚网上订单系统o_sa order.ashx存在SQL注入漏洞
同鑫T9eHR信息华管理系统GetDropDownListItems存在SQL注入洞
维盟wayos智能路由管理系统、高性能智慧wiFi网关存在跨站脚本漏洞
易捷-0A协同办公软件-任意文件读取
梓川信息科技有限公司-PEPM-RCE
上海建业信息科技股份-章管家-PermissionAc
普华-PowerPMSAPPGetUser 接口处存在SQL注入漏洞:
网上委托存在登录绕过漏洞
8.28hvv情报
赛蓝企业管理系统 systemModule 任意文件上传漏洞
Ivanti vTM 身份认证绕过漏洞(CVE-2024-7593)
泛微0A E-Cology action.jsp 任意文件上传漏洞
用友FE协同平台uploadFile.jsp存在文件上传漏洞
亿赛通科技发展有限责任公司亿赛通电子文档安全管理系统存在SQL注入漏洞
YonBIP存在命令执行漏洞
锐明技术crocus系统common.do存在SQL注入漏洞
众诚网上订单系统o_sa order.ashx存在SQL注入漏洞
同鑫T9eHR信息华管理系统GetDropDownListItems存在SQL注入洞
维盟wayos智能路由管理系统、高性能智慧wiFi网关存在跨站脚本漏洞
易捷-0A协同办公软件-任意文件读取
梓川信息科技有限公司-PEPM-RCE
上海建业信息科技股份-章管家-PermissionAc
普华-PowerPMSAPPGetUser 接口处存在SQL注入漏洞:
网上委托存在登录绕过漏洞
8.29hvv情报
同鑫T9eHR信息化管理系统 GetDropDownListItemsSQL注入漏洞
福建科立讯通信指挥调度平台up1load.php 任意文件上传
TurboMeeting SQL注入漏洞(CVE-2024-38289)
通天星CMSV6车载定位监控平台getAlarmAppealByGuid存在SQL注入漏洞
SPIP-porte plume插件存在任意PHP执行漏洞(CVE-2024-7954)
智能停车管理系统GetPasswayData存在SQL注入漏洞
畅捷通CRM系统newleadset.php接口存在SQL注入漏洞
满客宝-后台管理系统-任意文件读取
由于满客宝智慧食堂系统 selectuserByorgId
接口处未进行权限控制,导致未经身份验证的远程攻击者可以未授权访问,泄露系统用户账号密码等信息,进一步破解即可登录系统后台,使系统处于极不安全的状态。
开源-F0G-InformationLeakage
海康威视-isecure center综合安防管理平台-RCE
联达0A系统接口/Webservice/IM/Config/configService.asmx 存在SQL注入漏洞
某公众平台-无限回调系统 -SOL注入漏洞
启业-云运维平台-PermissionAc未授权访问
神州数码云科信息技术有限公司DCN防火墙存在命令执行漏洞
宏景EHR-HCM view SQL注入
Pwning ccTV cameras user list.xml 默认口令
Devika漏洞CVE-2024-40422
赛蓝企业管理系统 AuthToken/Index 接口存在身份认证绕过漏洞
致远互联FE协作办公平台 aprvaddNew.jsp接口处存在SQL注入漏洞,未经身份验证的攻击者可以通过此漏洞获取数据库敏感信息,深入利用可获取服务器权限
用友NC cloud querystaffByName 接口处存在SQL注入漏洞
Panabit /Maintain/sprog, upstatus.php 接口处的 id 参数存在 SQL 注入漏洞
宏景eHR /ajax/ajaxservice 接口处存在SQL注入漏洞
同鑫eHR人力资源管理系统GetF1owDropDownListItems存在SQL注入漏洞
某u挖矿质押单语言系统后台phar反序列漏洞
某U挖矿质押单语言系统前台未授权修改管理员密码
某u挖矿质押单语言系统imageupload后台任意文件上传漏洞
智能停车管理系统GetPasswayData存在SQL注入漏洞
畅捷通CRM系统newleadset.php接口存在SQL注入漏洞
朗新天霁智能eHR人力资源管理系统GetE01ByDeptcode存在SQL注入漏洞
通天星CMSV6车载定位监控平台getAlarmAppealByGuid存在SQL注入漏洞
8.30hvv情报
神州讯盟企业管理系统 Snoopservlet 敏感信息泄露漏洞
通达0A result.php接囗存在SQL注入漏洞
通天星CMS V6车载定位监控平台 getAlarmAppealByGuid SQL注入漏洞
用友U8 cloud-RepAddToTaskAction存在SOL注入漏洞
致远oa RCE漏洞
DouPHP1.7 Release 28220822版本中存在一个远程代码执行(RCE)漏洞,拥有管理员权限的攻击者可以通过该漏洞在服务器上执行任意命分漏洞通过上传恶意ico文件、修改文件扩展名来执行PHP代码
深圳市蓝凌软件股份有限公司蓝凌0A存在SQL注入漏洞
商已提供漏洞修复方案,请关注厂商主页更新:https://www.landray.com.cn/
瑞斯康达多业务智能网关list service manage.php存在未授权命令注入漏洞
珠海新华通软件股份有限公司云平台存在登录绕过漏洞
Clustercontrol-任意文件读取
Panabit-Panalog大数据日志审计系统-SQL注入漏洞
ApacheSolr-log-InformationLeakage信息泄露
TOTOLINK--InformationLeakage信息泄露
8.31-9.2hvv情报
泛微E-Bridge云桥任意文件读取漏洞
超易企业管理系统 Login.ashx SQL注入漏洞
亿赛通电子文档安全管理系统 MultiserverAjax SQL注入漏洞
超级猫-签名APP分发平台-任意文件读取
超级猫-签名APP分发平台-SQL注入
因酷-教育平台-RCE
用友-时空KSOA-/kp/PrintzpyG.jsp接口SQL注入
用友-畅捷通T+-SSRF
RAISECOM-网关设备-RCE
群杰-印章物联网管理平台-PermissionAc
Panabit-日志审计系统-SQL注入漏洞
KubePi--PermissionAC
开源-证书查询系统-任意文件读取
JeecgBoot-企业级低代码平台-XSS
Tenda-路由器-SQL注入
Tenda-路由器-RCE
SpringBlade-后台框架-SQL注入
Quicklancer--sQL注入
方天云-智慧平台系统-任意文件上传
EKing-管理易-任意文件上传
中兴-ZSRV2路由器-任意文件读取
天问-物业ERP系统-任意文件读取
吉林康驰益升医药有限公司-医药系统-SQL注入
金和0A系统c6-jQueryUploadify.ashx存在SQL注入洞
9.3hvv情报
浪潮云财务系统 UploadListFile任意文件上传漏洞
中兴ZTE-ZSR-V2路由器web管理系统任意文件读取漏洞
蜂信物联(FastBee)物联网平台download存在任意文件下载漏洞
红海云-EHR系统-任意文件上传
华天动力-0A-任意文件读取
百易云-资产管理运营系统-任意文件上传
拓尔思-TRS媒资管理系统-任意文件上传
瑞斯康达-多业务智能网关-RCE
金万维-云联应用系统接入平台-RCE
金和-0A-SQL注入
宏脉-医美行业管理系统-任意文件读取
F-logic-Datacube3测量系统-RCE
深澜-计费管理系统-反序列化RCE
Netgear-WN604无线路由器-PermissionAc
铭飞-MCMS-RCE
浪潮-GS企业管理软件-/cwbase/service/rps接口RCE
朗新天霁智能eHR人力资源管理系统GetE01ByDeptcode存在SQL注入漏洞
全程云0A接口UploadFile存在任意文件上传漏洞
人大金仓数据库管理系统 KingbaseEs影响范围:
存在一个模块startupPacket,用于处理客户端连接时的初始化数据包。该模块在接收客户端数据时会发生缓冲区湓出,攻击者利用该漏洞可实现远程代码执行
KingbaseEs Vog9Rg01c001B0025
KingbaseEs Veg9Rgg1c001B0024
KingbaseEs Vo08R006c008B0014
KingbaseEs Ve08Rg06c008B0010
KingbaseEs Ve08Rg06c007B0012
Yearning 引擎任意文件读取
全程云-0A-ajax-SQL注入漏洞
智邦国际ERP系统SQL注入(1day)
用友U9-UMWebService.asmx存在任意文件读取
用友-UFIDA-NC saveDoc.ajax 存在任意文件上传
西软云XMs futurehotel/operate XXE漏洞
通天星CMSV6车载视频监控平台getImage 文件读取
叁拾叁信息技术有限公司 0A产品存在SQL注入
宏景0A SmsAcceptGsTXServlet XXE注入漏洞
HFoffice医微云SQL注入漏洞
用友移动系统管理Downloadservlet存在任意文件下载漏洞
华为Auth-HttpServer 1.0任意文件读取
9.4hvv情报
SRM智联云采系统 autologin 身份认证绕过漏洞
metabase geojson接口存在任意文件读取漏洞
众诚网上订单系统 osa order.ashx sQL注入漏洞
云课网校系统文件上传漏洞
9.5hvv情报
紫光电子档案管理系统 1ogin 日志信息泄露漏洞
用友NC show download content soL注入漏洞
Hoverfly simulation 任意文件读取漏洞(CVE-2024-45388)
用友CRM客户关系管理系统import.php存在任意文件上传漏洞
亿赛通数据泄露防护(DLP)系统 NetsecconfigAjax sqL 注入
用友-畅捷通CRM-任意文件上传
SeacNs 12.9存在远程代码执行漏洞,该漏洞是由于admin_smtp.php将用户输入的数据未经处理直接拼接写入weixin.php造成的,允许经过身份验证的攻击者利用该漏洞执行任意命今并获取系统权限。
微信公众平台无限回调系统 /user/ajax.php 接口存在SQL注入漏洞
WebLogic-RCE
天问物业ERP系统 AreavatarDownLoad.aspx接口处存在任意文件读取漏洞
ThinkPHP5-拼团零售商城系统-PermissionAc
通天星CMSV6车载定位监控平台 /edu_security_officer/disable接口SQL注入
数字通指尖云平台-智慧政务payslip-SQL注入漏洞
启明星辰-天玥运维安全网关-SQL注入漏洞
全息-AI网络运维平台-RCE
迈普-多业务融合网关-InformationLeakage
蓝凌-EKP /sys/ui/sys ui component/sysuicomponent.do接口存在RCE
开源-1Panel面板-RCE
开源-fogproject系统-RCE
华磊-科技物流-SQL注入漏洞
海康威视-isecure center综合安防管理平台-RCE
帆软-OA-RCE
DedecMs v5.7.114存在远程代码执行漏洞
敦煌市2024年幼儿园新生入园登记存在未授权访问
资管云--任意文件上传
用友时空KSOA PreviewKPQT.jsp接口处存在SQL注入漏洞
WVP-视频平台-SQL注入漏洞
明源云-ERP系统接口管家-任意文件上传联软安渡UniNX6安全数据交换系统/uniExServices/link/queryLinkinfo存在任意文件读取漏洞,未经身份验证的攻击者可利用此漏洞获取数据库用户数据
开源-Bazarrswaggerui组件-任意文件读取
科迅--卡通管理系统-SQL注入漏洞
建文工程管理系统/SysFrame4/Desktop.ashx 存在SQL注入漏洞
汇智ERPfilehandle.aspx接口处任意文件读取漏洞
飞讯云-WMS /MyDown/MyImportData 接囗处存在前台SQL注入漏洞
创客13星-零售商城系统-任意文件上传
Sharp-多功能打印机-PermissionAc
奇安信-网神SecssL3600-PermissionAc
TOTOLINK-A6000R-RCE
SuitecRM-SQL注入漏洞
livenvr-青柿视频管理系统-PermissionAc
科荣-AIO-SQL注入漏洞
金蝶-云星空-SQL注入漏洞
九思-0A-任意文件上传
由于金慧-综合管理信息系统 LoginBegin.aspx(登录接口处)SQL注入
9.6hvv情报
浪潮云财务系统 bizintegrationwebservice.asmx 远程代码执行漏洞
用友U8-cloud attachment/upload接囗存在SQL注入漏洞
EOVA未授权doInit接口存在反序列化漏洞
时空智友企业流程化管控系统 login 文件读取
apache Fink 任意文件读取漏洞
ShowDoc 任意文件上传漏洞
