漏洞情报内容
1海康威视综合安防前台文件上传漏洞
这个洞厂商修复有些问题,还是可以通过...跳转到根目录,换个接口而已
2.蓝凌OA前台代码执行漏洞
蓝凌V131415就不说了,去年代码执行、金格接口打得很凶,今年蓝凌有了大更新之后还是存在很多RCE问题
3.致远M3Server-xxxx反序列化漏洞
懂得都懂
4.致远A8V8SP1SP2文件上传漏洞(1dav)
1day,今年年初修复了很多,ajaxdo接口ajaxAction涉及的文件操作方法还是很多的
5.普元EOS
前台代码执行漏洞,这系统代码执行也太多了不赘述,建议重开6泛微F-coloav后合文件上传漏洞(0dav从数据库读xxx,然后写到根目录,除了一些流传的1day之外泛微可以说基本已安全,RASP能绕也不想耗费精力继续看了,这个洞是针对去年
的前台洞绕过。
6.泛微E-Mobile任意用户登录(1day)
Emobile很难做后续利用,不过如果存在信息泄露风险的可以关注下8泛微E-Office10信息泄露后台+后台文件上传漏洞(Oday)很牛的组合漏洞,office9洞太多用的少没必要写了
7.契约锁电子签章系统RCE(1day)
上海某行动期间已修复,更新补丁很快,这家签章平台响应速度还是很快的,和泛微ECO经常同框打包卖
8.亿赛通电子文档平台文件上传漏洞市面上的上传1day其实去年补丁都打完了,今年有新的,可以注意下
9.ldocview命令执行漏洞
去年项目挖的,今年还在12jeesite代码执行漏洞Oday,丁真来了都得说真
10.LiveBOS文件上传漏洞
金融单位供应链,不需要前几年的跳目录了,新
版本灵动框架的上传绕过绕的很emmm
11.用友nc-cloud-任意文件写入(Oday
NCCLOUD今年用过大部分都没修
12.一哥VPN
预计今年二进制漏洞打得也会很凶,端口PWN!
13.xxIOAPWN
零信任不一定真的安全
14.xxx准入PWN
弱口令记得也要修一修
15.深信服应用交付系统命令执行
16.协同办公文档(DzzOfffice)未授权访问
17.电子签章平台代码执行漏洞
18.泛微oa进后台漏洞
19.ucloud的未授权获取任意用户cookie
20.飞书客户端RCE漏洞
21.泛微EofficeV10前台RCE
22.来客推商城任意文件上传
23天明堡垒机Oday
24明御运维审计与风险控制系统堡垒机任意用户注册28协同管理系统存在SQL注入25泛微emobile注入漏洞
26.拓尔思WCM任意命令执行漏洞
27.用友财务云任意文件上传漏洞
原文始发于微信公众号(Ots安全):08.10 情报内容 - 态感无告警 - QQ客户端RCE疑似钓鱼 - 海康威视综合安防前台文件上传漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论