漏洞复现
文章平均质量分 73
m0_46604997
这个作者很懒,什么都没留下…
展开
-
泛微WorkPlanService接口存在SQL注入
泛微e-cology依托全新的设计理念,全新的管理思想,为中大型组织创建全新的高效协同办公环境。标准化产品+个性化开发,适合集团型组织OA软件。原创 2024-08-28 17:32:14 · 269 阅读 · 0 评论 -
泛微云桥(e-Bridge)addResume接口存在文件上传漏洞
泛微云桥(e-Bridge)是上海泛微公司在”互联网+”的背景下研发的一款用于桥接互联网开放资源与企业信息化系统的系统集成中间件。截止自本手册编制之日e-Bridge已实现了腾讯微信及阿里钉钉开放接口的封装,企业可以通过e-Bridge快速实现基于微信及钉钉的移动办公应用接入。对于泛微协同办公产品e-cology更是实现了可视化的配置接入。后续e-bridge将整合更多的互联网信息化资源,让企业能够更加便利的利用开放的互联网资源进行企业信息化建设。原创 2024-08-28 16:48:40 · 568 阅读 · 0 评论 -
天问智慧物业ERP多处接口存在任意文件读取漏洞
成都天问互联科技有限公司以软件开发和技术服务为基础,建立物业ERP应用系统,向物管公司提供旨在降低成本、保障品质、提升效能为目标的智慧物管整体解决方案,实现物管公司的管理升级;以平台搭建和资源整合为基础,建立社区O2O服务平台,向物管公司提供旨在完善服务、方便业主、增加收益为目标的智慧小区综合服务平台,实现物业公司的服务转型。原创 2024-07-30 16:01:33 · 423 阅读 · 0 评论 -
通天星CMSV6车载定位监控平台sql注入漏洞复现
通天星CMSV6车载定位监控平台包括了WIFI自动下载、TTS语音信息下发、校车刷卡、油量统计、3G/4G视频监控、GPS位置定位、远程录像回放、轨迹查询等一体的综合性平台。原创 2024-07-30 12:44:42 · 536 阅读 · 0 评论 -
禅道项目管理系统身份认证绕过漏洞(QVD-2024-15263)
1.1、基本信息禅道是一款支持敏捷、瀑布、看板等多种项目模型的开源项目管理软件,可完整覆盖研发项目的需求、任务、缺陷、用例、质量、组织知识库等流程。禅道提供多个版本,包括免费的开源版、付费的企业版、旗舰版、IPD版和云禅道,以及DevOps平台版,满足不同行业和规模的项目管理需求。1.2、问题描述禅道系统存在身份认证绕过,在处理某些API时未能有效检查用户身份,允许未认证的用户执行某些操作,从而绕过鉴权机制。原创 2024-06-05 17:03:13 · 664 阅读 · 1 评论 -
金和OA_XmlDeal接口存在XXE漏洞
金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务.二、漏洞描述金和OA C6系统XmlDeal接口存在XXE漏洞,应用程序在解析XML数据时,没有正确验证或限制实体引用,攻击者就可以通过构造恶意的XML输入,将外部实体引用进来,从而执行恶意操作。原创 2024-05-17 10:40:08 · 303 阅读 · 0 评论 -
中成科信票务管理平台Introduction接口存在文件上传漏洞
中成科信是一家智慧旅游服务商,通过大数据、云计算、人工智能、移动互联网等新技术,在智慧旅游涉及的众多领域,针对游客的旅游生活、旅游服务企业的经营发展、政府行使职能过程中的相关需求,进行了智慧的感知、互联、处理和协调,将旅游构建成为一个“科技+人文”的智慧生态系统。原创 2024-05-10 14:27:55 · 517 阅读 · 2 评论 -
用友-UFIDA-NC_saveDoc接口存在文件上传漏洞
UFIDA NC是一款基于B/S架构的ERP软件是面向大型企业集团的集团管理解决方案,它支持多语言、多币种、多国家的应用,覆盖了财务会计、人力资源、供应链、生产制造、销售物流等企业核心业务领域,还提供了自动化工作流程、数据采集、移动应用、BI报表、分析等功能,帮助企业迅速建立业务管理、信息共享和某协办公的平台。用友-UFIDA-NC saveDoc.ajax 存在任意文件上传漏洞,攻击者可通过此漏洞上传恶意脚本文件,对服务器的正常运行造成安全威胁!原创 2024-04-25 22:47:32 · 563 阅读 · 5 评论 -
科荣AIO多个接口存在任意文件读取漏洞
科荣AIO企业一体化管理解决方案,通过ERP(进销存财务)、OA(办公自动化)、CRM(客户关系管理)、UDP(自定义平台),集电子商务平台、支付平台、ERP平台、微信平台、移动APP等解决了众多企业客户在管理过程中跨部门、多功能、需求多变等通用及个性化的问题。科荣AIO管理系统多个接口存在文件读取漏洞,该漏洞可能导致泄露配置信息、用户数据等敏感信息,为确保系统安全,建议尽快修复漏洞,并且设置有效的输入验证和访问控制机制。Fofa语法:body="changeAccount('8000')"原创 2024-04-25 22:25:55 · 314 阅读 · 4 评论 -
用友U8-cloud多个接口存在SQL注入
U8 cloud是用友推出的新一代云ERP,主要聚焦成长型、创新型企业,提供企业级云ERP整体解决方案,全面支持多组织业务协同、营销创新、智能财务、人力服务,构建产业链制造平台,融合用友云服务,实现企业互联网资源连接、共享、协同,赋能中国成长型企业高速发展、云化创新。U8 cloud 多个接口处存在SQL注入漏洞。攻击者可以窃取用户的隐私信息、业务数据等,造成用户信息泄露等网络安全相关问题,更严重的是数据库服务器控制有很大风险被攻击者控制。原创 2024-04-06 14:38:48 · 675 阅读 · 1 评论 -
用友U8-cloud_base64接口存在漏洞
U8 cloud是用友推出的新一代云ERP,主要聚焦成长型、创新型企业,提供企业级云ERP整体解决方案,全面支持多组织业务协同、营销创新、智能财务、人力服务,构建产业链制造平台,融合用友云服务,实现企业互联网资源连接、共享、协同,赋能中国成长型企业高速发展、云化创新。U8 cloud base64 接口处存在SQL注入漏洞。攻击者可以窃取用户的隐私信息、业务数据等,造成用户信息泄露,更严重的是数据库服务器控制有很大风险被攻击者控制等相关安全问题。原创 2024-04-03 16:45:39 · 547 阅读 · 1 评论 -
快普M6SalaryAccounting接口存在SQL注入
快普M6pro产品主要解决这些行业的集成管理、销售管理、运维管理、租赁管理、协同办公管理和供应链财务管理等管理需求,建立可持续发展的经营管理模式,彻底消除信息孤岛和管理死角。快普M6 的 /WebService/HR/Salary/SalaryAccounting.asmx 接口处存在SQL注入漏洞,攻击者可以窃取用户的隐私信息、业务数据等,造成用户信息泄露、企业品牌受损、法律风险等相关安全问题。原创 2024-04-02 09:55:16 · 683 阅读 · 1 评论