华顺信安漏洞简报2025年7月3日

Gobybot  8小时前

漏洞简报.png

资产测绘:https://fofa.info/

查看漏洞详情:Goby漏洞更新


1. 畅捷通T+ /tplus/ajaxpro/Ufida.T.SM.UIP.MultiCompanyController.Ufida.T.SM.UIP.ashx SQL 注入漏洞

关联路径:/tplus/ajaxpro/Ufida.T.SM.UIP.MultiCompanyController.Ufida.T.SM.UIP.ashx

影响版本:暂无详情

FOFA自查语法:(title="畅捷通 T+" && body="/view/login.htm") || body="tplus"

关联资产数:154,576  

全系产品可检测、可验证:CVD-2024-3584,往期已发布,发布时间24年8月

请将漏洞库升级至最新版本


2. 用友畅捷通-TPlus系统接口ajaxpro存在ssrf漏洞

关联路径:/tplus/ajaxpro/Ufida.T.SM.UIP.UA.AddressSettingController,Ufida.T.SM.UIP.ashx?method=TestConnnect

影响版本:暂无详情

FOFA自查语法:body="/tplus/"

关联资产数:154,618

全系产品可检测、可验证:CVD-2025-2798

请将漏洞库升级至最新版本


3. 畅捷通T+ /tplus/UFAQD/KeyInfoList.aspx SQL 注入漏洞

关联路径:/tplus/UFAQD/KeyInfoList.aspx

影响版本:暂无详情

FOFA自查语法:body="><sc ript>location='/tplus/';</sc ript></body>" || title=="畅捷通 T+"

关联资产数:108,982 

全系产品可检测、可验证:CVD-2024-1491,往期已发布,发布时间24年4月

请将漏洞库升级至最新版本


4. 用友畅捷通-TPlus系统 /FileUploadHandler.ashx 文件上传漏洞

关联路径:/tplus/SM/SetupAccount/FileUploadHandler.ashx

影响版本:暂无详情

FOFA自查语法:body="><sc ript>location='/tplus/';</sc ript></body>" && body="tplus"

关联资产数:108,975 

全系产品可检测、可验证:CVD-2024-4160,往期已发布,发布时间24年10月

请将漏洞库升级至最新版本


5. 泛微e-cology 9 /weaver/weaver.email.FileDownloadLocation/login/LoginSSOxjsp/x.FileDownloadLocation SQL 注入漏洞

关联路径:/weaver/weaver.email.FileDownloadLocation/login/LoginSSOxjsp/x.FileDownloadLocation

影响版本:暂无详情

FOFA自查语法:(((body="szFeatures" && body="redirectUrl") || (body="rndData" && body="isdx")) || body="doCheckPopupBlocked")

关联资产数:58,104 

全系产品可检测、可验证:CVD-2024-5567,往期已发布,发布时间24年12月

请将漏洞库升级至最新版本


6. 契约锁电子签章系统 /api/setup/dbtest 代码执行漏洞

关联路径:/api/setup/dbtest

影响版本:暂无详情

FOFA自查语法:(title="电子签署平台管理后台" && body="电子签署平台管理后台") || header="dn-staticdown.qbox.me static.geetest.com;img-src 'self' blob: data: http: *.qiyuesuo.com dn-staticdown.qbox.me static.geetest.com" || banner="dn-staticdown.qbox.me static.geetest.com;img-src 'self' blob: data: http: *.qiyuesuo.com dn-staticdown.qbox.me static.geetest.com"

关联资产数:16,859 

全系产品可检测、可验证:CVD-2025-2625,往期已发布,发布时间25年6月

请将漏洞库升级至最新版本


7. Microsoft Exchange Server 远程代码执行漏洞(CVE-2021-34473)

关联路径:/autodiscover/autodiscover.json

影响版本:暂无详情

FOFA自查语法:(body="href=\"/owa/auth/15.1.2176") || (body="href=\"/owa/auth/15.1.544") || (body="href=\"/owa/auth/15.1.1713") || (body="href=\"/owa/auth/15.1.225") || (body="href=\"/owa/auth/15.1.1261") || (body="href=\"/owa/auth/15.1.2044") || (body="href=\"/owa/auth/15.1.466") || (body="href=\"/owa/auth/15.1.396") || (body="href=\"/owa/auth/15.1.1847") || (body="href=\"/owa/auth/15.1.845") || (body="href=\"/owa/auth/15.1.1591") || (body="href=\"/owa/auth/15.1.1466") || (body="href=\"/owa/auth/15.1.1979") || (body="href=\"/owa/auth/15.1.1531") || (body="href=\"/owa/auth/15.1.1034") || (body="href=\"/owa/auth/15.1.1779") || (body="href=\"/owa/auth/15.1.2106") || (body="href=\"/owa/auth/15.1.1415") || (body="href=\"/owa/auth/15.1.669") || (banner="Microsoft Exchange 2016 POP3 server")

关联资产数:13,348 

全系产品可检测、可验证:CVD-2021-9269,往期已发布,发布时间21年9月

请将漏洞库升级至最新版本


8. 蓝凌OA /ekp/data/sys-common/dataxm l.tmpl 命令执行漏洞

关联路径:/ekp/data/sys-common/dataxm l.tmpl

影响版本:暂无详情

FOFA自查语法:(body="lui_login_message_td" && body="form_bottom") || (body="蓝凌软件 版权所有" && (body="j_acegi_security_check" || title="欢迎登录智慧协同平台")) || (body="j_acegi_security_check" && body="on submit=\"return kmss_on submit();" && (body="ExceptionTranslationFilter对SPRING_SECURITY_TARGET_URL 进行未登录url保持 请求中的hash并不会传递到服务端,故只能前端处理" || body="kkDownloadLink link"))

关联资产数:12,536

全系产品可检测、可验证:CVD-2025-2759

请将漏洞库升级至最新版本


9. 华天动力OA8000 /OAapp/jsp/trace/downloadfortrace.jsp 文件读取漏洞

关联路径:/OAapp/jsp/trace/downloadfortrace.jsp

影响版本:暂无详情

FOFA自查语法:(body="/OAapp/Webob jects/OAapp.woa/" && body="/OAapp/jsp") || header="Path=/OAapp"

关联资产数:2,239   

全系产品可检测、可验证:CVD-2025-2768

请将漏洞库升级至最新版本


10. Camunda BPM /camunda/api/admin/auth/user/default/login/welcome 默认口令漏洞

关联路径:/camunda/api/admin/auth/user/default/login/welcome

影响版本:暂无详情

FOFA自查语法:title="Camunda Welcome" && status_code="200"

关联资产数:2,160

全系产品可检测、可验证:CVD-2025-2792

请将漏洞库升级至最新版本


11.深信服运维安全管理系统 /fort/system;login/netConfig/set_port 命令执行漏洞

关联路径:/fort/system;login/netConfig/set_port

影响版本:暂无详情

FOFA自查语法:body="/fort/login" && header="FORTSESSIONID"

关联资产数:1,825

全系产品可检测、可验证:CVD-2025-2760

请将漏洞库升级至最新版本


12. 东胜物流 /CommMng/Print/UploadMailFile 任意文件上传

关联路径:/CommMng/Print/UploadMailFile

影响版本:全版本

FOFA自查语法:(body="FeeCodes/CompanysAdapter.aspx" || body="dhtmlxcombo_whp.js" || body="dongshengsoft" || body="theme/dhtmlxcombo.css") && body="东胜"

关联资产数:1,239

全系产品可检测、可验证:CVD-2025-2803

请将漏洞库升级至最新版本


13. 易宝OA /SmartTradeScan/StockTake/getPosition存在SQL注入

关联路径:/SmartTradeScan/StockTake/getPosition

影响版本:暂无详情

FOFA自查语法:(title="欢迎登录易宝OA系统" && body="/Content/css/OAstyle.css") || body="$.cookie(\"topvision_oaName"

关联资产数:788

全系产品可检测、可验证:CVD-2025-2779

请将漏洞库升级至最新版本


14. 天地伟业Easy7 /Easy7/rest/file/downloadResource 文件读取漏洞

关联路径:/Easy7/rest/file/downloadResource

影响版本:暂无详情

FOFA自查语法:body="<img src=\"./images/ico/Easy7_logo_transparent.png\"" && body="/VideoLib.EXE\">"

关联资产数:259 

全系产品可检测、可验证:CVD-2025-2751

请将漏洞库升级至最新版本


15.WebOne 劳动力与考勤管理套件 /webForms/Download/DownloadFile.aspx 任意文件读取

关联路径:/webForms/Download/DownloadFile.aspx

影响版本:暂无详情

FOFA自查语法:title="Webone-WTS" && body="background"

关联资产数:221

全系产品可检测、可验证:CVD-2025-2780

请将漏洞库升级至最新版本


16. 金蝶eas /easportal/autoLogin.jsp存在代码执行漏洞 

关联路径:/easportal/autoLogin.jsp

影响版本:暂无详情

FOFA自查语法:body="/eassso" && title="EAS"

关联资产数:146

全系产品可检测、可验证:CVD-2025-2776

请将漏洞库升级至最新版本


17. 扁鹊医疗 /AppService/BQMedical/WebServiceForFirstaidApp.asmx/GetLyfsByParams sql注入漏洞

关联路径:/AppService/BQMedical/WebServiceForFirstaidApp.asmx/GetLyfsByParams

影响版本:暂无详情

FOFA自查语法:body="ImagesNew/home/u.png" && body="飞救医疗科技"

关联资产数:116

全系产品可检测、可验证:CVD-2025-2787

请将漏洞库升级至最新版本


18.汉王e脸通综合管理平台 /manage/dgmCommand/resourceUploadFile.do 文件上传漏洞

关联路径:/manage/dgmCommand/resourceUploadFile.do

影响版本:暂无详情

FOFA自查语法:(title="汉王智慧园区" && body="<link rel=\"icon\" href=\"/logo.png\"") || title="汉王e脸通" || body="hwzy99.com"

关联资产数:116  

全系产品可检测、可验证:CVD-2025-2774

请将漏洞库升级至最新版本


19.浪擎DAYS灾备系统 /vmware/p2vplat/execp2vbackup 文件上传漏洞 

关联路径:/vmware/p2vplat/execp2vbackup

影响版本:暂无详情

FOFA自查语法:title=="浪擎DAYS灾备软件"

关联资产数:11

全系产品可检测、可验证:CVD-2024-1577,往期已发布,发布时间24年4月,请将漏洞库升级至最新版本



最新评论

昵称
邮箱
提交评论