Y16-8用友-GRP-U8-文件上传 漏洞描述: 用友GRP-U8内控管理软件存在任意文件(/servlet/FileUpload)上传漏洞,攻击者可通过该漏洞上传木马,远程控制服务器。 用友GRP-U8R10产品官方在售及提供服务的版本为U8Manager,产品分B、C、G三个产品系列 网站图片
Y16-7用友-GRP-U8-XXE 漏洞描述: 用友GRP-U8R10 ufgovbank.class 存在XML实体注入漏洞,攻击者可利用xxe漏洞获取服务器敏感数据,可读取任意文件以及ssrf攻击,存在一定的安全隐患。 影响版本: 用友GRP-U8R10产品官方在售及提供服务的版本为U8Man
Y16-6用友-GRP-U8-SQL 漏洞描述: 用友GRP-U8是用友软件推出的一款企业级管理软件套件,旨在帮助企业实现全面的数字化管理和业务优化。用友GRP-U8 license_check.jsp接口对用户传入的参数未进行有效的过滤,直接拼接到SQL查询语句中,导致SQL注入漏洞。攻击者通过该
Y16-5用友-GRP-U8-SQL 漏洞描述: 用友GRP-U8是用友软件推出的一款企业级管理软件套件,旨在帮助企业实现全面的数字化管理和业务优化。用友GRP-U8 license_check.jsp接口对用户传入的参数未进行有效的过滤,直接拼接到SQL查询语句中,导致SQL注入漏洞。攻击者通过该
Y16-4用友-GRP-U8-SQL 漏洞描述: 用友GRP-U8R10产品官方在售及提供服务的版本为U8Manager,产品分B、C、G三个产品系列,以上受到本次通报漏洞的影响。 网站图片: 网络测绘: fofa语法: FOFA:app=“用友-GRP-U8” 漏洞复现: payload: GET
Y16-3用友-GRP-U8-SQL 漏洞描述: 用友GRP-U8R10行政事业内控管理软件 forgetPassword_old.jsp接口处存在SQL注入漏洞,未授权的攻击者可利用此漏洞获取数据库权限,深入利用可获取服务器权限。 用友GRP-U8R10产品官方在售及提供服务的版本为U8Manag
Y16-2用友-GRP-U8-SQL 漏洞描述: 用友U8 cloud ReportDetailDataQuery 接口处存在SQL注入漏洞,攻击者未经授权可以访问数据库中的数据,从而盗取用户数据,造成用户信息泄露。 影响版本: U8 cloud 2.1,2.3,2.5,2.6,2.65,2.7,3
Y16-1用友-GRP-U8-SQL 漏洞描述: 用友GRP-U8是用友软件推出的一款企业级管理软件套件,旨在帮助企业实现全面的数字化管理和业务优化。用友GRP-U8 listSelectDialogServlet 接口对用户传入的参数未进行有效的过滤,直接拼接到SQL查询语句中,导致SQL注入漏洞
Y15-9用友-U8+CRM-SQL fofa语法: app.name=“用友 CRM” 漏洞复现: payload: POST /devtools/tools/attrlist.php?DontCheckLogin=1&isquery=1 HTTP/1.1 Host: Connection: c
Y15-8用友-U8+CRM-SQL 漏洞描述: 用友U8-CRM系统接口 /bgt/reservationcomplete.php 存在SQL注入漏洞 fofa语法: app.name=“用友 CRM” 漏洞复现: payload: GET /bgt/reservationcomplete.php
Y15-7用友-U8+CRM-SQL 漏洞描述: 用友U8-CRM接口 /devtools/tools/exportdictionary.ph p存在SQL注入漏洞 fofa语法: app.name=“用友 CRM” 漏洞复现: payload: GET /devtools/tools/export
Y15-6用友-U8+CRM-RCE 漏洞描述: 用友 U8 CRM客户关系管理系统 uploadfile.php 文件存在任意文件上传漏洞,未经身份验证的攻击者通过漏洞上传恶意后门文件,执行任意代码,从而获取到服务器权限。 网站图片: fofa语法: title=“用友U8CRM” 漏洞复现: p
Y15-5用友-U8+CRM-文件上传 漏洞描述: 用友 U8 CRM客户关系管理系统 swfupload 文件存在任意文件上传漏洞,未经身份验证的攻击者通过漏洞上传恶意后门文件,执行任意代码,从而获取到服务器权限。 网站图片:
Y15-4用友-U8+CRM-文件上传 漏洞描述: 用友U8-CRM是企业利用信息技术,是一项商业策略,它通过依据市场细分组织企业资源、培养以客户为中心的经营行为、执行以客户为中心的业务流程等手段来优化企业的客户满意度和获利能力。用友 U8 CRM客户关系管理系统 getemaildata.php
Y15-3用友-U8+CRM-任意文件读取 漏洞描述: 用友 U8 CRM客户关系管理系统 help2接口处存在任意文件读取漏洞,攻击者通过漏洞可以获取到服务器敏感信息。 网站图片:
Y15-2用友-U8+-PermisssionAC 漏洞描述: 用友 U8 CRM客户关系管理系统 reservationcomplete.php文件存在逻辑漏洞,未授权的攻击者通过漏洞可以直接登录后台,获取系统内部敏感信息,使系统处于极不安全状态。 网站图片:
Y15-1用友-U8+-文件上传 漏洞描述: 用友U8+ OA doUpload.jsp 接口存在文件上传漏洞,攻击者可通过该漏洞在服务器端写入后门文件,任意执行代码,获取服务器权限,进而控制整个 web 服务器。 影响版本: 用友U8+OA 基础版+企业版 网站图片: 网络测绘: fofa语
Y14-1亿邮-电子邮件系统-RCE 漏洞描述: 亿邮电子邮件系统是由北京亿中邮信息技术有限公司(以下简称亿邮公司)开发的一款面向中大型集团企业、政府、高校用户的国产邮件系统。未经身份验证的攻击者利用该漏洞,可通过精心构造恶意请求,使用POST方法在目标服务器执行命令,获取目标服务器权限,控制目标服
Y13-1云课网校系统-文件上传 漏洞描述: 云课网校系统是一款开源在线教育网站平台,主要用于在线点播、在线直播、题库等功能,非常适合于个人和小型机构创建自己的在线教育网站。 云课网校系统uploadImage存在任意文件上传漏洞,攻击者可通过该漏洞获取服务器权限。 影响版本: <云课网校系统3.0
Y11-10月子会-ERP管理云平台-SQL 漏洞描述: 月子会所ERP管理云平台 StarryQuoteEdit.aspx 接口处存在SQL注入漏洞,未经身份验证的恶意攻击者利用 SQL 注入漏洞获取数据库中的信息(例如管理员后台密码、站点用户个人信息)之外,攻击者甚至可以在高权限下向服务器写入命
