8月9日HW漏洞情报

漏洞等级

严重

漏洞描述

WPSOffice是金山软件(Kingsoft)公司的一种办公软件提供文件处理功能近日监测发现WPSOfficeforWindows版本存在高危0day漏洞，攻击者可以利用该漏洞在受害者主机上执行任意恶意文件

目前已经发现了该0day漏洞的在野利用。

影响范围：

WPSOffice2023个人版<11.1.015120;WPSOffice2019企业版<11.8.2.12085

绿盟网页防篡改、天融信网站检测系统存在1day。在野利用，有POC。未授权任意用户添加
#2023hvv#
漏洞等级
高危
漏洞描述
绿盟网页防篡改、天融信网站检测系统存在1day。在野利用，有POC。未授权任意用户添加

0day！海康威视综合安防远程命令执行漏洞
影响版本：

V1.0.0<=iSecureCenter<=V1.7.0

【1day】泛微E-Office9文件包含漏洞

0day！宏景eHR SQL注入漏洞
锐捷部分EWEB管理系统 远程代码注入漏洞(CVE-2023-34644)

Apache Airflow Run Task 权限绕过漏洞
影响范围：
apache-airflow@(-∞,2.6.0)

致远A8 V8 SP1 SP2文件上传漏洞（1day)
ajax.do接口ajaxAction涉及的文件操作方法还是很多的

普元EOS 前台代码执行漏洞

泛微E-cology后台文件上传漏洞（0day)
数据库读xx,然后写根目录

泛微e-mobile任意用户登录漏洞（1day)

范围e-office10信息泄露后台+后台文件上传漏洞（0day)
很牛的组合，office9的漏洞相对较少

契约锁电子签章系统RCE（1day)

亿赛通电子文档平台文件上传漏洞

Idocview 命令执行漏洞

jeesite RCE

LiveBOS文件上传漏洞

用友nc-cloud-任意文件写入（0day)

nc cloud今年用过 大部分都没修

奇安信 VPN
端口PWN 二进制漏洞

xx IOA PWN

协调办公文档（dzzoffice)未授权访问

电子签证平台RCE

泛微OA直接进后台漏洞

ucloud 未授权获取任何用户cookie

飞书客户端RCE

来客推商城任意文件上传

天玥堡垒机0day

明御运维审计与风险控制系统堡垒机任意用户注册

拓尔思WCM任意命令执行漏洞

用友财务云任意文件上传漏洞

原文始发于微信公众号（飓风网络安全）：8月9日HW漏洞情报