导语
一年一度的“大考”火热进行中,攻防演练期间本公众号会每日更新当天鲜活情报和热点漏洞,欢迎大家对我们进行收藏和关注!
【免责声明】
本文档提供的信息旨在帮助网络安全专业人员更好地理解和维护业务系统的安全性,严禁用于任何非法用途,任何未经授权使用或由此产生的后果和损失,均由使用者自行承担!
漏洞情报
【网传漏洞情报】
今日发现漏洞情报10条
重保期间累计发现漏洞情报74条
今日更新的漏洞情报如下:
已收录漏洞
今日DayDayPoc已收录漏洞6条
重保期间累计收录漏洞55条
今日DayDayPoc已收录漏洞列表:
参考链接:
www.ddpoc.com/news.html我们会在www.ddpoc.com上持续更新每日漏洞,以下为今日漏洞详情:
1、美特CRM sendsms.jsp 存在任意文件上传漏洞
漏洞编号:DVB-2025-9556
影响厂商:北京美特软件技术有限公司
影响产品:美特CRM(MetaCRM)
影响版本:未知
DayDayMap自查指纹:
body="MetaCRM6"||title="MetaCRM7客户关系管理系统"参考链接:
https://www.ddpoc.com/DVB-2025-9556.html临时修复建议:
1.暂时拦截对 sendsms.jsp 接口的访问请求;
2.对上传文件类型做严格限制;
3.限制访问来源地址,如非必要,不要将系统开放在互联网上。
2、Citrix NetScaler ADC & NetScaler Gateway 存在内存泄漏漏洞(CVE-2025-5777)
漏洞编号:DVB-2025-9558
影响版本:14.1到14.1-43.56,13.1到13.1-58.32
DayDayMap自查指纹:
title="Citrix Gateway" || title="NetScaler AAA"|| body="NetScaler AAA"||body="<span>Citrix ADC</span>"参考链接:
https://www.ddpoc.com/DVB-2025-9558.html临时修复建议:
3、PWS Dashboard 存在任意文件读取漏洞(CVE-2025-47423)
漏洞编号:DVB-2025-9559
影响厂商:PWS Dashboard
影响产品:PWS Dashboard
DayDayMap自查指纹:
title="PWS Dashboard"参考链接:
https://www.ddpoc.com/DVB-2025-9559.html临时修复建议:
1.输入过滤拦截路径穿越符(如../),强制文件扩展名白名单(如仅允许.jpg/.pdf);
漏洞编号:DVB-2025-7880
影响厂商:杭州博采网络科技股份有限公司
影响产品:博采CMS
影响版本:未知
DayDayMap自查指纹:
body="STATIC_URL"&&body="UPLOAD_URL"参考链接:
https://www.ddpoc.com/DVB-2025-7880.html临时修复建议:
5、普华科技PowerPms ForgotPassword 存在sql注入漏洞
漏洞编号:DVB-2025-7875
影响厂商:上海普华科技发展股份有限公司
影响产品:普华科技PowerPms
影响版本:未知
DayDayMap自查指纹:
body="Power.login.init"&&body="Power.ui.warning" && body="Power_login_btn"参考链接:
https://www.ddpoc.com/DVB-2025-7875.html临时修复建议:
1.暂时拦截对 ForgotPassword 接口的访问请求,尤其是访问内容包含数据库操作执行语句的请求;
漏洞编号:DVB-2025-7783
影响厂商:浙江大华技术股份有限公司影响产品:大华DSS影响版本:未知
DayDayMap自查指纹:
body="/WPMS/asset/lib/normalize.css"参考链接:
https://www.ddpoc.com/DVB-2025-7783.html临时修复建议:
1.严格限制包括限制协议、检测特殊字符、IP校验;
规则库补丁更新情况
上述漏洞已在盛邦安全Web应用防护系统(RayWAF)、入侵检测防御系统(RayIDP)等产品中更新攻击防护规则,且在一体化漏洞评估系统(RayScan)、网络安全单兵侦测系统(RayBox)、网络空间资产探测系统(RaySpace)等产品中更新漏洞检测规则。
原文始发于微信公众号(Beacon Tower Lab):【0708】重保演习每日情报汇总
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论