iSee857的博客

MetaCRM的sync_emp_weixin存在反序列化漏洞，攻击者可利用应用程序处理序列化数据时，通过构造恶意的序列化数据，导致应用程序执行未授权的操作或执行恶意代码。开发的客户关系管理软件，旨在为企业提供全面的客户关系管理解决方案。美特CRM系统不仅支持高端客户的复杂应用，还具备先进的技术架构和强大的客户化能力，能够满足企业多样化的需求‌。对反序列化的数据进行严格的验证，同时选择经过审计的库，避免使用不安全的实现。

电信网关配置管理系统/bak_manager/upload_channels.php 接口存在文件上传漏洞,未经身份验证的远程攻击者可以利用文件上传漏洞获取系统权限。‌是用于管理和配置电信网关的设备，提供了一系列功能来帮助用户监控和管理网络设备。以下是电信网关配置管理后台的主要功能和操作方法。厂商已发布补丁 请即时修复。

ISS-7000v2网关设备能够让300至1000终端设备同时上网，并发量是一般设备的好几倍。此外，ISS-7000v2提供频宽管理付费/免费服务，支持IP plug and play (IPnP)技术，允许任何用户登入设定，并支持点数加值的功能及累积点数的模式‌。HANDLINK-ISS-7000v2网关login_handler.cgi接口处存在未授权RCE漏洞。攻击者可能利用此漏洞执行恶意命令，导致系统执行未授权的操作，获取服务器权限。对所有用户输入进行严格的验证，确保只接受预期的格式。

‌是美团点评旗下的一款基于微信小程序技术开发的应用程序功能，它允许用户方便快捷地请求他人为自己支付订单费用。通过微信小程序，用户可以轻松实现代付操作，无需跳转到其他应用或网页，提高了支付的便捷性和效率‌。漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。在处理客户端输入的参数时，进行严格的验证和过滤，防止未授权的文件访问。美团代付微信小程序 /read.php接口存在任意。

该漏洞是 `account_mgr.cgi` 脚本中的命令注入漏洞，允许远程攻击者通过特制的 HTTP GET 请求执行任意命令。同时该漏洞特别影响“account_mgr.cgi”脚本的“cgi_user_add”命令中的“name”参数。由于输入过滤不充分，注入“name”参数的恶意命令可能导致未经授权的命令执行。它适用于企业，可以作为企业云盘使用，为企业员工提供方便快捷的存储和共享服务‌。D-Link 在安全公告中确认将不提供CVE-2024-10914的补丁，并建议用户弃用易受攻击的产品。

明源地产ERP系统 /WFWebService存在反序列化漏洞，攻击者可利用应用程序处理序列化数据时，通过构造恶意的序列化数据，导致应用程序执行未授权的操作或执行恶意代码。‌

它集成了流程管理、知识管理、会议管理、公文管理、合同管理、费用管控等多个模块，旨在帮助企业解决基础OA应用、系统集成、开发平台和创新业务定制等长期扩展需求，推动企业实现管理在线化、知识赋能化、运营数字化和人机智能化‌。漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。在处理客户端输入的参数时，进行严格的验证和过滤，防止未授权的文件访问。返回数据经过base64编码 解码后可得读取数据。

（AP）的网络环境。AC集中管理平台能够统一管理多个AP设备，实现策略下发、配置管理、日志记录等功能，从而简化网络管理流程，提高管理效率。多款ac集中管理平台actpt.data信息泄露，泄露用户名、密码等关键数据导致攻击者可利用此类数据接管问题系统。针对泄露文件进行权限管控或限制访问ip。‌是一种用于管理和控制。的设备，主要用于管理。使用泄露数据进行登录。

由于泛微E-Cology9 weaver.formmode.servelt.FileDownloadLocation 接口未对用户传入的数据进行严格的校验和过滤,导致攻击者利用多层编码的方式绕过身份认证进行SQL注入,未经身份验证的远程攻击者可以利用 SQL 注入漏洞获取数据库中的信息。推出的一款面向中大型组织的协同办公平台，旨在为组织创建高效、协同的办公环境。E-Cology9依托全新的设计理念和管理思想，通过智能化、平台化和全程电子化的特点，满足组织内部的沟通、协助、知识分享和流程执行等需求。

打造的数字化管理系统，旨在帮助企业实现业务流程的优化、管理效率的提升和客户体验的改善。该系统集成了项目管理、销售管理、客户关系管理、财务管理、报表分析等多个模块，能够满足企业不同层级、不同部门的管理需求‌。漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。赛普EAP平台 /Download.aspx接口存在任意。在处理客户端输入的参数时，进行严格的验证和过滤，防止未授权的文件访问。

和多年网络安全防护经验积累研发而成，以4A管理理念为基础、安全代理为核心，提供事前预防、事中监控、事后审计的全方位运维安全解决方案。该系统适用于政府、金融、能源、电信、交通、教育等行业‌。漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。天融信运维审计系统（TopSAG）是基于自主知识产权的。在处理客户端输入的参数时，进行严格的验证和过滤，防止未授权的文件访问。天融信运维审计系统 download接口存在任意。

开发，旨在为专业人士和组织提供全面的地理信息系统（GIS）功能。ArcGIS通过集成和连接地理环境中的数据，支持创建、管理、分析、映射和共享各种类型的数据，从而帮助组织在决策制定中占据领先地位‌。漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。ArcGIS地理空间平台 /arcgis/manager接口存在任意。在处理客户端输入的参数时，进行严格的验证和过滤，防止未授权的文件访问。‌是一个综合的地理空间平台，由。

首先确保系统限制了文件所必须的上传后缀，然后确保文件名不包含任何可能被解释为目录或遍历序列 ( ../) 的子字符串，同时做到重命名上传的文件以避免可能导致现有文件被覆盖的冲突并且上传文件的存储目录禁用执行权限。Fofa：body="/wall/themes/meepo/assets/images/defaultbg.jpg" || title="现场活动大屏幕系统"金华迪加现场大屏互动系统在mobile.do.php接口处存在任意文件上传，攻击者可通过该漏洞在上传任意文件至服务器上从而实现远程接管。

易思智能物流无人值守系统通过应用先进的技术和系统，实现物流过程中的自动化、智能化和无人化。它利用物联网、人工智能、大数据等技术手段，对物流环节进行全面监控、管理和优化，建立线上预约入厂、到场签到、线上司机考试、入厂车检数据化、无人计量、采制样管理、现场罐检无纸化、厂内外全流程监管等，减少人工操作，提高效率和安全性‌。漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。易思智能物流无人值守系统 DownFile接口存在任意。

易思智能物流无人值守系统通过应用先进的技术和系统，实现物流过程中的自动化、智能化和无人化。它利用物联网、人工智能、大数据等技术手段，对物流环节进行全面监控、管理和优化，建立线上预约入厂、到场签到、线上司机考试、入厂车检数据化、无人计量、采制样管理、现场罐检无纸化、厂内外全流程监管等，减少人工操作，提高效率和安全性‌。易思智能物流无人值守系统 /ExportReport接口处存在SQL注入漏洞，未经身份验证的远程攻击者可以利用 SQL 注入漏洞获取数据库中的信息(例如，管理员后台密码、站点的用户个人信息)。

由于泛微E-Cology9 weaver.formmode.servelt.QRcodeBuildAction接口未对用户传入的数据进行严格的校验和过滤,导致攻击者利用多层编码的方式绕过身份认证进行SQL注入,未经身份验证的远程攻击者可以利用 SQL 注入漏洞获取数据库中的信息。推出的一款面向中大型组织的协同办公平台，旨在为组织创建高效、协同的办公环境。E-Cology9依托全新的设计理念和管理思想，通过智能化、平台化和全程电子化的特点，满足组织内部的沟通、协助、知识分享和流程执行等需求。

某电子文档系统中存在sql注入，源于文件中/com/esafenet/servlet/policy/HookService.java函数deleteHook会操纵参数 hookId导致sql 注入。‌

易思智能物流无人值守系统通过应用先进的技术和系统，实现物流过程中的自动化、智能化和无人化。它利用物联网、人工智能、大数据等技术手段，对物流环节进行全面监控、管理和优化，建立线上预约入厂、到场签到、线上司机考试、入厂车检数据化、无人计量、采制样管理、现场罐检无纸化、厂内外全流程监管等，减少人工操作，提高效率和安全性‌。易思智能物流无人值守系统 /ExportReport接口处存在SQL注入漏洞，未经身份验证的远程攻击者可以利用 SQL 注入漏洞获取数据库中的信息(例如，管理员后台密码、站点的用户个人信息)。

鸿宇多用户商城 /scan_list.php 登录接口处存在SQL注入漏洞，未经身份验证的远程攻击者可以利用 SQL 注入漏洞获取数据库中的信息(例如，管理员后台密码、站点的用户个人信息)。‌是一款支持各行业的多商家入驻型电商平台系统，提供商家版APP、微信商城、小程序及各种主流营销模块，是一个功能强大的电子商务平台，旨在为企业和个人提供全面的在线购物解决方案‌。同时，应限制数据库用户的权限，仅授予执行必要操作所需的最低权限。定期进行安全审计，以发现并修复潜在的安全漏洞。

该公司总部位于北京市海淀区，并在上海、广州、南京、武汉、西安、成都等城市设有分支机构，业务覆盖全国各地区，已有众多高校用户，在业内树立了良好的口碑‌。易普行科技高校招聘系统/ReportServer接口存在未授权访问泄露用户账号密码等重要数据，导致攻击者可通过泄露实现登录。‌是一个专门为国内高校提供人力资源管理信息化服务的系统，由。厂商已发布补丁 请即时修复。