2024-HW最新漏洞整理及相应解决方案(十三)

已于 2024-08-11 22:34:07 修改
阅读量1k 收藏 9
点赞数 16
分类专栏: 2024HW最新漏洞及解决方案 文章标签: 安全 web安全 系统安全 网络安全 运维
于 2024-08-11 19:31:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72210904/article/details/141110157
版权

目录

前言:

漏洞:

1.Finereport 数据可视化插件FVS的漏洞

2.用友U8cloud系统BusinessRefAction接口存在SQL注入漏洞

3.用友U8cloud系统API接口uapbd.refdef.query存在SQL注入漏洞

4.H3C iMC智能管理中心远程代码执行漏洞

5.H3C-SeaSQL DWS V2.0存在SQL注入漏洞

6.用友NC系统psnImage的sql注入漏洞

7.H3C EIA终端智能接入系统存在任意文件下载漏洞

本文仅用于技术学习和讨论。请勿使用本文所提供的内容及相关技术从事非法活动,由于传播、利用此文所提供的内容或工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果均与文章作者及本账号无关。

前言:

漏洞是基于部分安全厂家、软件厂商的公众号或官方网站,以及一些非官方渠道等途径整理的HW安全漏洞情报,情报里附含漏洞详情和解决方案。护网期间我将持续更新分享,希望可以在护网期间帮助到大家

漏洞:

1.Finereport 数据可视化插件FVS的漏洞

升级版本和安装插件:https://market.fanruan.com/plugin/2b55753a-3d27-45cc-997b-e450b6c33fbc
参考链接:https://help.fanruan.com/finereport/doc-view-4833.html

2.用友U8cloud系统BusinessRefAction接口存在SQL注入漏洞

安装补丁:https://security.yonyou.com/#/patchInfo?identifier=f6ae798dcf87489cb04307816ad4134f
参考链接:https://security.yonyou.com/#/noticeInfo?id=591

3.用友U8cloud系统API接口uapbd.refdef.query存在SQL注入漏洞

安装补丁:https://security.yonyou.com/#/patchInfo?identifier=563f888c335e4824a7a3c08353e597dd
参考链接:https://security.yonyou.com/#/noticeInfo?id=590

4.H3C iMC智能管理中心远程代码执行漏洞

升级版本:EIA E0632H07及之后的版本
https://www.h3c.com/cn/Service/Document_Software/Software_Download/
参考链接:https://www.h3c.com/cn/Service/Online_Help/psirt/security-notice/detail_2021.htm?Id=134

5.H3C-SeaSQL DWS V2.0存在SQL注入漏洞

升级内核:内核大于等于SeaSQL DWS V2.0.2-3版本https://www.h3c.com/cn/Service/Document_Software/Software_Download/
参考链接:https://www.h3c.com/cn/Service/Online_Help/psirt/security-notice/detail_2021.htm?Id=134

6.用友NC系统psnImage的sql注入漏洞

修复方案:https://security.yonyou.com/#/noticeInfo?id=593

7.H3C EIA终端智能接入系统存在任意文件下载漏洞

升级版本:升级到EIA E6606P03及之后的版本
https://www.h3c.com/cn/Service/Document_Software/Software_Download/
参考链接:https://www.h3c.com/cn/Service/Online_Help/psirt/security-notice/detail_2021.htm?Id=135

2024hw 蓝队面试题合集
Sumarua的博客
07-01 1040
2024HW蓝队面试题合集,面试题及答案
用友U8 Cloud uapbd.refdef.query SQL注入漏洞复现
0xSec
11-01 462
用友U8 Cloud uapbd.refdef.query 接口处存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
2024HW漏洞集合+检测工具(一)
2401_84578953的博客
09-27 863
*免责声明:**涉及到的所有技术仅用来学习交流,严禁用于非法用途,未经授权请勿非法渗透,否则产生的一切后果自行承担!2024护网刚刚结束,各位参加HW的“天命人”辛苦啦!在这里,小智第一时间给大家更新了HW漏洞库,同时给大家提供一款检测工具,各位看官里边请!一、漏洞库今年HW所有漏洞做了汇总,包括复现过程,POC等,有想要的小伙伴可以后台私信小智。二、检测工具(持续更新)主要是把1day做了一些收集,不用登录的一些漏洞,后续还会持续更新,有想要的小伙伴可以后台私信小智。
帆软 FineReport/FineBI channel反序列化漏洞分析
errorr0
07-18 2万+
漏洞分析
2023HW护网100+个漏洞poc
Yb528970805的博客
09-19 3643
20 . Metabase validate 远程命令执行漏洞CVE-2023-38646。13 . HiKVISION 综合安防管理平台 files 任意文件上传漏洞 POC。3 . Adobe ColdFusion 反序列化漏洞CVE-2023-29300。25 . Panabit iXCache网关RCE漏洞CVE-2023-38646。65 . 泛微E-Office9文件上传漏洞 CVE-2023-2523 POC。66 . 泛微E-Office9文件上传漏洞 CVE-2023-2648 POC。
帆软 FineReport之channel反序列化漏洞复现的简单记录(不含EXP)
lostnerv的专栏
08-25 5428
FineReport 的包和BI不一样,无法原样照搬,最后还是自己找到了个利用链,可以实现任意文件上传,不知道有没有可以直接RCE的大佬,可以传授我下~~。
帆软报表 V8.0 组合拳漏洞分析及复现
2301_80115097的博客
12-15 5636
FineReport是一款企业级报表设计和数据可视化软件,纯Java编写的企业级web报表工具。它提供了强大的报表设计、数据分析和数据可视化功能,旨在帮助企业用户轻松地创建高质量的报表和数据分析图表。
重保任务重,HW压力大,看多维融合重保解决方案为您解忧
NateIT的博客
05-30 3084
01 提高组织协同效率 解决应急响应、应急预案等关键安全活动缺乏信息化支撑的问题,导致组织协同效率低,包括内部组织、外部组织(安全外包服务提供商)。 解决多厂商、多人协同,沟通成本高、执行效率低、速度慢的问题。 02 解决安全数据孤岛问题 解决多设备、多品牌、多平台(态势感知平台、SIEM、WAF、IPS/IDS)数据孤岛,数据协同难度大,误判高、可维护性差的问题。 解决具有相同或重复任务的大量告警时,容易产生告警疲劳,可能导致响应时...
2024hw蓝队初级面试总结_weblogic反序列化流量特征(1)
2401_84254530的博客
05-02 2434
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。,毕竟实战是检验真理的唯一标准嘛~最后就是项目实战,这里带来的是。
情报驱动防御:深信服HW网络威胁情报分析实战
![情报驱动防御:深信服HW网络威胁情报分析实战]...文章进一步分析了深信服HW网络威胁情报平台的功能、工具及其在实战演练中的应用。通过案例研究
2024大数据面试题汇总(完善中。。。)
为人性僻 语不惊人
06-18 2222
自己汇总的面试题,涉及到大数据的常用组件,将持续更新... ... 部分图片不全,后期继续完善 更新记录: 2024-6-18 初版0.1.0 :hadoop,hbase,doris,hive,mysql,es 2024-6-26 1.0.0 : java,spark,redis,kafka,flink,kafka,数据仓库
2021 HW 漏洞清单汇总 ( 附 poc )
gjgj的博客
04-23 1万+
2021 HW 漏洞清单汇总 2021.4.8——4.22 披露时间 涉及商家/产品漏洞描述 2021/04/08启明星辰天清汉马USG防火墙存在逻辑缺陷漏洞(历史漏洞) CNVD-2021-17391 启明星辰 天清汉马USG防火墙 逻辑缺陷漏洞 CNVD-2021-12793 2021/04/08禅道项目管理软件11.6禅道 11.6 sql注...
用友U8 Cloud MeasureQueryFrameAction SQL注入漏洞复现
0xSec
07-25 626
用友U8 Cloud MeasureQueryFrameAction接口处存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
帆软数据决策系统漏洞_帆软报表漏洞总结
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
09-24 4031
一、帆软数据决策系统漏洞背景,FineReport报表软件是帆软软件(中国)公司自主研发的一款纯Java编写的企业级web报表软件。主要针对2012年7.0版本存在一些安全漏洞问题。 二、帆软数据决策系统漏洞版本查看弱口令漏洞提供了访问此页面方法 三、帆软数据决策系统漏洞漏洞总结 1.未授权访问漏洞 http://ip/ReportServer?op=fr_server&cmd=sc_visitstatehtml&showtoolbar=false //未授权访问内网ip的日志 http://ip/Repo
Hw服务常见漏洞
最新发布
weixin_66225119的博客
04-07 419
4848 GlassFish 弱口令admin/adminadmin。8080 Tomcat\Jboss 弱口令,Jboss匿名访问。(2)数据库漏洞:MySQL数据库、MSSQL数据库、Oracle数据库、PostgreSQL数据库、Redis数据库等等。873 rsync 匿名访问,弱口令。
任意文件上传下载漏洞原理及示例
m0_62480631的博客
03-29 1586
许多web应用程序因业务需要,提供文件下载功能,但是没有对用户下载的文件做限制,导致恶意用户能够下载敏感文件。
帆软(FineReport) V9任意文件覆盖漏洞
热门推荐
江左盟的博客
05-03 2万+
目录 漏洞简介 影响范围 漏洞分析 漏洞利用 修复方法 批量漏洞检测工具 漏洞简介 该漏洞是在近期HVV中被披露的,由于在初始化svg文件时,未对传入的参数做限制,导致可以对已存在的文件覆盖写入数据,从而通过将木马写入jsp文件中获取服务器权限。 影响范围 WebReport V9 漏洞分析 fr-chart-9.0.jar包中com.fr.chart.web/ChartSvgInitService类传递op参数的值svginit: 漏洞主要出现在fr-chart-9.0.
2024HW漏洞总结500+个漏洞|威胁情报第|HW情报
weixin_43167326的博客
09-02 4129
技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
漏洞通报】最新帆软工具RCE漏洞POC
guanjian_ci的博客
07-26 2371
1、删除 sqlite 驱动:请从工程的 webapps\webroot\WEB-INF\lib 目录中删除sqlite-jdbc-x.x.x.xjar驱动文件,并重启工程以完成更改。2、调整配置文件:在url.properties文件中,请添加以下规则:rule3=/view/ReportServer、rule4=/view/ReportServer/。3、安装 web 应用防火墙插件:请安装并配置相应最新Web 应用防火墙插件。
Goit-js-hw-10食品服务模板化解决方案
资源摘要信息: "goit-js-hw-10-food-service:模板化" 知识点一:JavaScript在前端开发中的...在项目“goit-js-hw-10-food-service”中,若能够遵循这些最佳实践,将能够帮助开发出既快速又安全的前端模板化解决方案
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值