Y27-1用友-分析云-PermissionAC 漏洞描述: 用友分析云存在druid未授权访问漏洞,用友分析云默认启动druid,未对druid做登录认证,导致任意用户可直接访问druid,读取session、数据库配置、SQL监控、Spring监控、查看JsonApi。 网站图片: 网络测绘:
Y25-2Geoserver-RCE 漏洞描述: 2024年7月,互联网上披露Geoserver表达式注入致远程代码执行漏洞(CVE-2024-36401),攻击者无需认证即可利用该漏洞获取服务器权限,建议受影响的客户尽快修复漏洞。 网站图片: fofa语法: app=“GeoServer” 漏洞复
Y25-1云匣子-RCE 漏洞描述: 云匣子authService接口处使用存在漏洞 fastjson 组件,未授权的攻击者可通过fastjson 序列化漏洞对云匣子发起攻击获取服务器权限。 网站图片: 网络测绘: fofa语法: FOFA:app=“云安宝-云匣子” 漏洞复现: payload:
Y24-8云时空-社会化商业ERP系统-InformationLeakage 漏洞描述: 云时空ERP系统online接口没有进行权限校验,导致敏感信息泄露,可以通过泄露信息获取管理员或普通用户权限。 fofa语法: title=“云时空社会化商业ERP系统” 漏洞复现: payload: GET
Y24-7云时空-社会化商业ERP系统-SQL 漏洞描述: 时空云社会化商业ERP validateLoginName接口处存在SQL注入漏洞,未授权的攻击者可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息),甚至在高权限的情况可向服务器中写入木马,进一步获取服
Y24-5云时空-社会化商业ERP系统-SQL 漏洞描述: 时空云社会化商业ERP service接口处存在SQL注入漏洞,未授权的攻击者可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息),甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。 网站
Y24-6云时空-社会化商业ERP系统-反序列化RCE 漏洞描述: 云时空社会化商业 ERP 系统存在 shiro 反序列化漏洞,该漏洞源于软件存在硬编码的 shiro-key,攻击者可利用该 key 生成恶意的序列化数据,在服务器上执行任意代码,执行系统命令、或打入内存马等,获取服务器权限。 网站
Y24-3云时空-社会化商业ERP系统-反序列化RCE 漏洞描述: 云时空社会化商业 ERP 系统存在 shiro 反序列化漏洞,该漏洞源于软件存在硬编码的 shiro-key,攻击者可利用该 key 生成恶意的序列化数据,在服务器上执行任意代码,执行系统命令、或打入内存马等,获取服务器权限。 网站
Y24-2云时空-社会化商业ERP系统-SQL 漏洞描述: 时空云社会化商业ERP service接口处存在SQL注入漏洞,未授权的攻击者可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息),甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。 网站
Y24-1云时空-社会化商业ERP系统-文件上传 漏洞描述: 时空云社会化商业ERP gpy接口处存在文件上传漏洞,未经身份认证的攻击者可通过该漏洞在服务器端上传任意文件,执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。 网站图片: 网络测绘: fofa语法: FOFA:app=“
