2024-HW最新漏洞整理及相应解决方案(八)

于 2024-08-08 22:59:20 发布
阅读量416 收藏 10
点赞数 4
分类专栏: 2024HW最新漏洞及解决方案 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72210904/article/details/141038359
版权

目录

前言:

漏洞

1.启明星辰-天清汉马VPN任意文件读取漏洞

2.海康威视综合安防管理平台检测远程命令执行漏洞

3.GitIab代码执行漏洞CVE-2024-7047

4.泛微E-Mobile installOperate.do SSRF漏洞

5.泛微E-cology系统中存在SQL注入漏洞CNNVD-201910-647

6.泛微E-cology系统中存在安全漏洞CNNVD-201909-1041

本文仅用于技术学习和讨论。请勿使用本文所提供的内容及相关技术从事非法活动,由于传播、利用此文所提供的内容或工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果均与文章作者及本账号无关,本次测试仅供学习使用。如有内容争议或侵权,请及时私信我们!我们会立即删除并致歉。谢谢!

前言:

漏洞是基于部分安全厂家、软件厂商的公众号或官方网站,以及一些非官方渠道等途径整理的HW安全漏洞情报,情报里附含漏洞详情和解决方案。护网期间我将持续更新分享,希望可以在护网期间帮助到大家

漏洞

1.启明星辰-天清汉马VPN任意文件读取漏洞

1.官方暂未发布相关补丁
2.建议严格限制对VPN服务器的访问权限,确保只有授权用户才能访问相关资源。实施强密码策略,并定期进行密码更改和审计
参考链接:https://ti.qianxin.com/vulnerability/detail/360586

2.海康威视综合安防管理平台检测远程命令执行漏洞

升级版本:修复版本将通过软件版本管理服务(版本需在V1.4.103和V1.6.101及以上)进行推送也可来联系官方技术人员获取
参考链接:https://www.hikvision.com/cn/support/CybersecurityCenter/SecurityNotices/2024-03/

3.GitIab代码执行漏洞CVE-2024-7047

安装补丁:尽快联系厂商获取补丁下载并更新系统https://about.gitlab.com/
参考链接:https://www.cnnvd.org.cn/home/globalSearch?keyword=CVE-2024-7047

4.泛微E-Mobile installOperate.do SSRF漏洞

安装官方发布补丁:尽快联系厂商获取补丁下载并更新系统https://www.weaver.com.cn/
参考链接:https://ti.qianxin.com/vulnerability/detail/360665

5.泛微E-cology系统中存在SQL注入漏洞CNNVD-201910-647

安装官方发布的补丁:安全补丁请联系客服人员获取
参考链接:https://www.weaver.com.cn/news/src/

6.泛微E-cology系统中存在安全漏洞CNNVD-201909-1041

安装官方发布的补丁:安全补丁请联系客服人员获取
参考链接:https://www.weaver.com.cn/news/src/

坚持@success
关注
专栏目录
泛微E-Mobile installOperate.do SSRF漏洞复现
0xSec
07-23 2345
泛微E-Mobile installOperate.do 接口处存在服务器请求伪造漏洞,未经身份验证的远程攻击者利用此漏洞扫描服务器所在的内网或本地端口,获取服务的banner信息,窥探网络结构,甚至对内网或本地运行的应用程序发起攻击,获取服务器内部敏感配置,造成信息泄露。
CNVD-2021-12793 启明天清汉马USG防火墙弱口令漏洞复现
afei001
04-24 2092
目录 1.前言 2.漏洞概述 3.影响版本 4.漏洞等级 5.漏洞复现 5.1 FOFA实战复现 6.漏洞修复 声明:请勿进行非授权测试,否则后果自负。 1.前言 2021HW期间,互联网威胁情报中就有该漏洞。这个漏洞也挺无语的,因为在网上搜到最早是墨者学院的一个靶场。CNVD公开日期2021年3月11日,而这篇博客的时间是在19年7月份,无语吧。没想到FOFA随便找一下还真有,心也真够大的,放在公网上,默认密码都不改。 ...
(CNVD-2021-17391)|启明星辰-‘‘天清汉马USG防火墙‘‘逻辑漏洞
qq_17754023的博客
02-28 4285
0x01 漏洞说明 启明星辰天清汉马USG防火墙存在逻辑缺陷漏洞,攻击者可利用该漏洞从低权限越权到管理员权限,可进行用户密码重置和权限设置等高权限操作 0x02 影响版本 天清汉马USG防火墙 0x03 漏洞复现 Fofa搜索标题:(注意:互联网的非授权利用属于违法行为) title='天清汉马USG防火墙' 通过百度文库查找到配置手册: 可以看见存在三种角色: 系统管理员:admin/venus.usg -----最高权限,可使用所有功能 审计员 ...
[漏洞复现]天清汉马vpn任意文件读取漏洞及后利用进内网
LiangYueSec的博客
07-17 2469
[漏洞复现]天清汉马vpn任意文件读取漏洞及后利用进内网
泛微移动管理平台E-mobile lang2sql接口任意文件上传漏洞
CommputerMac的博客
11-07 5043
e-mobile可满足企业日常管理中的绝大部分管理需求, 诸如市场销售、项目、采购、研发、客服、财务、人事、行政等;同时e-mobile可帮助企业实现面向不同用户量身定制的移动办公入口,包括企业员工、供应商、代理商、 合作伙伴、投资费以及终端客户等整个供应链条上的关系主体,满足为企业全方位的移动办公需求。泛微e-mobile,由高端OA泛微专业研发,是业内领先的移动OA系统,提供移动审批,移动考勤,移动报表,企业微信等丰富办公应用,支持多种平台运行,灵活易用安全性高。
泛微移动平台e-mobile漏洞利用的修复方案
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
04-14 5308
泛微移动平台e-mobile漏洞利用的修复方案1. 对产生漏洞模块的传入参数进行有效性检测,对传入的参数进行限定2. 当用户输入限定字符时,立刻转向自定义的错误页,不能使用服务器默认的错误输出方式 3. 对以上标签进行危险字符过滤,禁止('、"、+、%、&、、()、;、and、select等)特殊字符的传入 4. 加密数据库内存储信息 5. 与数据库链接并访问数据时,使用参数化查询方式进行链接访问
CNVD-2021-17391 启明天清汉马USG防火墙逻辑缺陷漏洞复现
afei001
04-24 1693
目录 1.前言 2.漏洞概述 3.影响版本 4.漏洞等级 5.漏洞复现 5.1 FOFA实战复现 6.漏洞修复 声明:请勿进行非授权测试,否则后果自负。 1.前言 该漏洞是CNVD 4月8号收录的,那看来2021 HW第一天爆出来的洞就是这个了,不过该漏洞的利用也要之前的弱口令作为支撑。 CNVD:h...
2021 HW 漏洞清单汇总 ( 附 poc )
热门推荐
gjgj的博客
04-23 1万+
2021 HW 漏洞清单汇总 2021.4.8——4.22 披露时间 涉及商家/产品漏洞描述 2021/04/08启明星辰天清汉马USG防火墙存在逻辑缺陷漏洞(历史漏洞) CNVD-2021-17391 启明星辰 天清汉马USG防火墙 逻辑缺陷漏洞 CNVD-2021-12793 2021/04/08禅道项目管理软件11.6禅道 11.6 sql注...
2024hw 蓝队面试题合集
Sumarua的博客
07-01 698
2024HW蓝队面试题合集,面试题及答案
重保任务重,HW压力大,看多维融合重保解决方案为您解忧
NateIT的博客
05-30 2953
01 提高组织协同效率 解决应急响应、应急预案等关键安全活动缺乏信息化支撑的问题,导致组织协同效率低,包括内部组织、外部组织(安全外包服务提供商)。 解决多厂商、多人协同,沟通成本高、执行效率低、速度慢的问题。 02 解决安全数据孤岛问题 解决多设备、多品牌、多平台(态势感知平台、SIEM、WAF、IPS/IDS)数据孤岛,数据协同难度大,误判高、可维护性差的问题。 解决具有相同或重复任务的大量告警时,容易产生告警疲劳,可能导致响应时...
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 973
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
启明星辰天清汉马防火墙证书
11-09
启明星辰天清汉马防火墙,USG-FW-310DP管理证书,使用方法参考对应的操作手册,已另外上传
2024大数据面试题汇总(完善中。。。)
为人性僻 语不惊人
06-18 1153
自己汇总的面试题,涉及到大数据的常用组件,将持续更新... ... 部分图片不全,后期继续完善 更新记录: 2024-6-18 初版0.1.0 :hadoop,hbase,doris,hive,mysql,es 2024-6-26 1.0.0 : java,spark,redis,kafka,flink,kafka,数据仓库
红队专题-Perm权限提升与维持隐匿Privilege Escalation
aming小老弟
10-27 876
高权限不仅能对更多文件进行增删改查的操作,方便进一步收集主机系统中的敏感信息, system权限也可以提取内存中的密码Hash,为进一步的渗透提供更多信息。权限提升是从初始访问权限(通常是标准用户或应用程序帐户)一直提升到administrator, root甚至SYSTEM访问权限的艺术。常见技术或攻击手段来获得高权限帐户访问权限。用于检测和利用不同权限提升技术的手动方法,但会提到可以完成相同工作并节省您一些时间的自动化工具。 完美,它指向我们的有效负载。 使用net(也是默认安装的)启动此服务以获得
漏洞复现泛微e-Mobile 移动管理平台文件上传漏洞
qq_34780861的博客
04-25 2411
泛微e-Mobile移动管理平台是一款由泛微软件开发的企业移动办公解决方案。它提供了一系列的功能和工具,使企业员工能够通过移动设备随时随地地进行办公和协作。泛微e-Mobile 移动管理平台存在任意文件上传漏洞
HW漏洞威胁情报第三天|HW情报
最新发布
weixin_43167326的博客
07-25 613
技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!天问物业ERP系统ContractDownLoad存在任意文件读取漏洞。猎鹰安全(金山)终端安全系统V9 远程代码执行漏洞。启明星辰天清汉马vpn存在任意文件读取漏洞。赛蓝企业管理系统存在任意文件上传漏洞
【1day】复现泛微E-Mobile 6.0 存在命令执行漏洞
记录并分享学习安全的知识点..
07-21 1303
E-Mobile一款由上海泛微网络科技股份有限公司开发的移动办公产品,专门为手机、平板电脑等移动终端用户打造的移动办公产品。E-Mobile 6.0 版本存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权限。
Milesight VPN 任意文件读取漏洞
weixin_43567873的博客
03-10 56
Milesight VPN 任意文件读取漏洞
漏洞复现泛微OA E-Mobile 移动管理平台 lang2sql 任意文件上传漏洞
凝聚力安全团队
06-19 1857
泛微OA E-Mobile 移动管理平台 lang2sql 接口存在任意文件上传漏洞,攻击者可通过该漏洞上传任意文件从而控制整个服务器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值