Y4-11用友-NC-XXE 漏洞描述: 用友 NC 多处接口存在XML实体注入漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。 网站图片: 网络测绘: fofa语法: app=“用友-UFIDA-NC” 漏洞复
Y4-9用友-NC-XXE 漏洞描述: 用友 NC 多处接口存在XML实体注入漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。 网站图片: 网络测绘: fofa语法: app=“用友-UFIDA-NC” 漏洞复现
Y4-10用友-NC-XXE 漏洞描述: 用友 NC 多处接口存在XML实体注入漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。 网站图片: 网络测绘: fofa语法: app=“用友-UFIDA-NC” 漏洞复
Y4-8用友-NC-XXE 漏洞描述: 用友 NC 多处接口存在XML实体注入漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。 网站图片: 网络测绘: fofa语法: app=“用友-UFIDA-NC” 漏洞复现
Y4-7用友-NC-XXE 漏洞描述: 用友 NC 多处接口存在XML实体注入漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。 网站图片: 网络测绘: fofa语法: app=“用友-UFIDA-NC” 漏洞复现
Y4-6用友-NC-XXE 漏洞描述: 用友 NC 多处接口存在XML实体注入漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。 网站图片: 网络测绘: fofa语法: app=“用友-UFIDA-NC” 漏洞复现
Y4-4用友-NC-XXE 漏洞描述: 用友 NC 多处接口存在XML实体注入漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。 影响版本: 网站图片: 网络测绘: fofa语法: app=“用友-UFIDA-NC
Y4-5用友-NC-XXE 漏洞描述: 用友 NC 多处接口存在XML实体注入漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。 网站图片: 网络测绘: fofa语法: app=“用友-UFIDA-NC” 漏洞复现
Y4-3用友-NC-XXE 漏洞描述: 用友 NC 多处接口存在XML实体注入漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。 网站图片: 网络测绘: fofa语法: app=“用友-UFIDA-NC” 漏洞复现
Y4-2用友-NC-XXE 漏洞描述: 用友 NC 多处接口存在XML实体注入漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。 网站图片: 网络测绘: fofa语法: app=“用友-UFIDA-NC” 漏洞复现
Y4-1用友-NC-文件上传漏洞 漏洞描述: 用友 NC saveDoc.ajax接口处存在任意文件上传漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。 网站图片: 网络测绘: fofa语法: FOFA:app=“用友-UFIDA-NC” 漏洞
Y3-40用友-U8-Cloud-SQL 漏洞复现: payload: GET /service/~iufo/com.ufida.web.action.ActionServlet?action=nc.ui.iufo.query.measurequery.MeasQueryConditionFrame
Y3-41用友-U8-Cloud-SQL 漏洞描述: 用友NC Cloud queryStaffByName 接口处存在SQL注入漏洞,未授权的攻击者可通过此漏洞获取数据库权限,从而盗取用户数据,造成用户信息泄露。 fofa语法: app=“用友-NC-Cloud” 漏洞复现: payload: G
Y3-39用友-U8-Cloud-SQL 漏洞描述: 用友U8 Cloud MeasureQueryFrameAction接口处存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中
Y3-38用友-U8-Cloud-反序列化RCE 漏洞描述: 无 影响版本: 无 网站图片: fofa语法: 无 漏洞复现: 无 payload: 无 效果图:
Y3-36用友-U8-Cloud-SQL 漏洞描述: 用友U8 Cloud linkntb.jsp 接口处存在SQL注入漏洞,未授权的攻击者可通过此漏洞获取数据库权限,从而盗取用户数据,造成用户信息泄露。 影响版本: U8C = 1.0,2.0,2.1,2.3,2.5,2.6,2.65,2.7,3.
Y3-35用友-U8-Cloud-XXE 漏洞描述: 用友U8 Cloud smartweb2.showRPCLoadingTip.d 接口处存在XML实体,攻击者可通过该漏洞获取敏感文件信息,攻击者添加恶意内容,通过易受攻击的代码,就能够攻击包含缺陷的XML处理器。 网站图片: fofa语法: a
Y3-34用友-U8-Cloud-反序列化RCE 漏洞描述: 用友U8 Cloud存在多处(FileManageServlet和LoginVideoServlet)反序列化漏洞,系统未将用户传入的序列化数据进行过滤就直接执行反序列化操作,结合系统本身存在的反序列化利用链,最终造成远程代码执行。 影响
Y3-33用友-U8-Cloud-SQL 漏洞描述: 用友U8 Cloud attachment/upload 接口处存在SQL注入漏洞,未授权的攻击者可通过此漏洞获取数据库权限,从而盗取用户数据,造成用户信息泄露。 网站图片: 网络测绘: fofa语法: body=“/u8sl/Login.asp
Y3-32用友-U8-Cloud-SQL 漏洞描述: 用友U8 Cloud ExportUfoFormatAction接口处存在SQL注入漏洞,未授权的攻击者可通过此漏洞获取数据库权限,从而盗取用户数据,造成用户信息泄露。 影响版本: version = 1.0,2.0,2.1,2.3,2.5,2.
