【漏洞汇总】近十日漏洞汇总（已公布poc）

本文主要是介绍【漏洞汇总】近十日漏洞汇总（已公布poc），希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

严正声明

1. 本文仅用于技术交流，目的是向相关安全人员展示漏洞的存在和利用方式，以便更好地提高网络安全意识和技术水平。

2. 任何人不得利用本文中的技术手段进行非法攻击和侵犯他人的隐私和财产权利。一旦发生任何违法行为，责任自负。

3. 本文中提到的漏洞验证 poc 仅用于授权测试，任何未经授权的测试均属于非法行为。请在法律许可范围内使用此 poc。

4. CVES实验室对使用此 poc 导致的任何直接或间接损失不承担任何责任。使用此 poc 的风险由使用者自行承担。

漏洞列表（已公布poc）

以下所有漏洞完整poc均已上传致“追洞学苑”知识星球，文末可付费加入。

1. 用友某系统任意文件读取

2. 蓝凌EIS智慧协同平台SQL注入漏洞

SM/rpt_listreport_definefield.aspx

3. 广州图创图书馆集群管理系统SQL注入漏洞

interlib/websearch/WebBookNew

4. RUOYI-v4.7.8远程代码执行漏洞

https://github.com/luelueking/RuoYi-v4.7.8-RCE-POC

5. RG-UAC锐捷统一上网行为管理与审计系统远程代码执行漏洞

view/vpn/autovpn/online_check.php

6. 西软云XXE漏洞两个

XopServerRS/rest/futurehotel/operate

XopServerRS/rest/futurehotel/query

7. 用友U9文件读取漏洞

u9/OnLine/UMWebService.asmx

8. 宏景eHR-HCM文件读取漏洞

templates/attestation

9. 用友U8 反序列化漏洞

service/~iufo/com.ufsoft.iufo.web.appletinvoke.CacheInvokeServlet

10. 用友U8 SQL注入漏洞

service/~iufo/nc.itf.iufo.mobilereport.data.KeyWordReportQuery

11. 用友U8 SQL注入漏洞

u8cuapws/rest/archive/verify

12. 用友U8 SQL注入漏洞

service/~iufo/nc.itf.iufo.mobilereport.data.KeyWordDetailReportQuery

13. 用友U8 SQL注入漏洞

service/~erm/nc.pubitf.erm.mobile.appservice.AppPhoneServletService

14. 用友U8 SQL注入漏洞

service/~iufo/nc.itf.iufo.mobilereport.data.BlurTypeQuery

15. 蓝凌OA SQL注入漏洞

third/wechat/wechatLoginHelper.do

16. CVE-2024-23334​​​​​​​

Poc for windows: /static/../D:\flag.txtPoc for Linux: /static/../../../../etc/passwd [need to fuzz "../"]

https://gist.github.com/W01fh4cker/2b570b1d0df40aa94808184c231d7ecb

17. 九思OA软件SQL注入漏洞

jsoa/wap2/personalMessage/user_list_3g.jsp

18. 万户OA 命令执行漏洞

defaultroot/services/./././RhinoScriptEngineService

19. 宏景eHR 任意文件读取漏洞

templates/attestation/../../servlet/DisplayFiles

20. 通天星CMSV6车载视频监控平台Sta任意文件读取漏洞

808gps/StandardReportMediaAction_getImage.action

21. 红帆SQL注入漏洞

ioffice/prg/interface/iocomGetAtt.aspx

22. 通达OA 反射XSS漏洞

module/html_editor/editor/plugins/td_listview/td_listview.php

23. 通达OA URL跳转漏洞

ispirit/go.php

24. 广联达 未授权访问漏洞

/WebService/Lk6SyncService/MrMMSSvc/DataSvc.asmx/Get*******

25. 通天星CMSV6-车载视频监控平台 信息泄露漏洞

808gps/StandardLoginAction_get******.action

26. 东胜物流软件 SQL注入漏洞

MvcShipping/MsBaseInfo/SaveUserQuerySetting

27. 东胜物流软件 SQL注入漏洞

FeeCodes/TCodeVoynoAdapter.aspx

28. 东胜物流软件 SQL注入漏洞

TruckMng/MsWlDriver/GetDataList

29. JeePlus快速开发平台 SQL注入漏洞

a/sys/user/validateMobileExist

30. JeePlus快速开发平台 SQL注入漏洞

a/sys/user/validateMobile

31. 飞企互联-FE企业运营管理平台SQL注入漏洞

common/parseTree.js%70

这篇关于【漏洞汇总】近十日漏洞汇总（已公布poc）的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---