华顺信安漏洞简报2025年7月5日-7月7日
资产测绘:https://fofa.info/
查看漏洞详情:Goby漏洞更新
【网传漏洞情报汇总】
总计发现网传情报172条(包含验真后的Nday情报)
截止今日,已收录80条
【7月7日漏洞情报汇总】
今日新增发现漏洞情报24条,其中往期历史已收录8条,今日新增收录16条:
1.Cleo文件传输软件/Synchronization文件读取漏洞(CVE-2024-50623)
关联路径:/Synchronization
FOFA自查语法:
body="packages/partnerlogos/userportal_logo"&& title="KACESystemsManagementApplianceServiceCenter"
关联资产数:1,226,615
全系产品可检测、可验证:CVD-2024-5551,往期已发布,发布时间2024-12
2.NetScalerADC/Gatewayopenid-configuration信息泄露漏洞(CVE-2023-4966)
关联路径:/oauth/idp/.well-known/openid-configuration
FOFA自查语法:
title="NetscalerGateway"||(title=="CitrixLogin"&&body="CitrixADC")||title=="CitrixADCSDX-Login"||(title="NetScalerGateway"&&body="href=\"/vpn/images/AccessGateway.ico\"")||((body="class=\"_ctxstxt_NetscalerGateway\">NetScalerGateway"||body="/vpn/css/ctxs.authentication.css")&&body="NetScalerGateway")||title="CitrixAccessGateway"||title=="CitrixGateway"||body="href=\"/vpn/images/AccessGateway.ico"||header="ezisneercsresu="||header="Cyms-SecS"||(header="pwcount"&&body="/vpn/images/AccessGateway.ico")||(title="CitrixGateway"&&(body="href=\"/vpn/images/AccessGateway.ico"||body="class=\"citrixReceiverLogoAboutBox\""||(body="/vpn/js/gateway_login_view.js?"&&body="cloud.ottoworkfroce.eu/vpn/index.html")||body="vpn/js/lsgateway_login_view.js"))||(body="class=\"_ctxstxt_NetscalerGateway\""&&body="receiver/images/common/icon_vpn.ico")||(body="/vpn/nsshare.js"&&body="CitrixSystems,Inc.")||(banner="Location:/vpn/index.html"&&banner="HTTP/1.1302ob jectMoved"&&banner="Set-Cookie:NSC_ba seURL")
关联资产数:129,502
全系产品可检测、可验证:CVD-2023-3163,往期已发布,发布时间2024-10
3.畅捷通T+/tplus/GLSyncService.asmxSQL注入漏洞
关联路径:/tplus/GLSyncService.asmx
FOFA自查语法:
body=">"||title=="畅捷通T+"
关联资产数:109,337
全系产品可检测、可验证:CVD-2024-1127,往期已发布,发布时间2024-10
4.通达OA协同办公系统get_contactlist.php文件isuser_info参数信息泄露
关联路径:/mobile/inc/get_contactlist.php
FOFA自查语法:
(body="/static/templates/2013_01/index.css/"||body="ja vasc ript:document.form1.UNAME.focus()"||body="href=\"/static/images/tongda.ico\""||body=""||(body="OA提示:不能登录OA"&&body="紧急通知:今日10点停电")||title="OfficeAnywhere2013"||title="OfficeAnywhere2015"||(body="tongda.ico"&&(title="OA"||title="办公"))||body="class=\"STYLE1\">新OA办公系统")
关联资产数:22,873
全系产品可检测、可验证:CVD-2021-13610,往期已发布,发布时间2022-10
5.用友NC /uapws/service/nc.itf.bap.service.IBapIOService GetBapTable SQL注入漏洞
关联路径:/uapws/service/nc.itf.bap.service.IBapIOService
FOFA自查语法:
body="html/downloadBroswer.html"&&body="platform/pub/welcome.do"
关联资产数:5,140
全系产品可检测、可验证:CVD-2025-1238,往期已发布,发布时间2025-03
6.Apache Kafka Connect/connectors文件读取漏洞(CVE-2025-27817)
关联路径:/connectors/
FOFA自查语法:
header="Jetty"&&body="kafka_cluster_id"
关联资产数:3,635
全系产品可检测、可验证:CVD-2025-2595,往期已发布,发布时间2025-06
7.帆软Fine Report/ReportServer 令执行漏洞
关联路径:/webroot/decision/view/ReportServer
FOFA自查语法:
body="/webroot/decision"&&body="/webroot/decision/file"
关联资产数:1,032
全系产品可检测、可验证:CVD-2024-3095,往期已发布,发布时间2024-07
8.用友 BIP /bi/api/SemanticModel/GetOlapConnectionList 信息泄露漏洞
关联路径:/bi/api/SemanticModel/GetOlapConnectionList/
FOFA自查语法:
body="/bi/portal/manifest.json"&&body="src=\"/bi/portal/static/js/"
关联资产数:901
全系产品可检测、可验证:CVD-2024-4785,往期已发布,发布时间2024-11
9.宏景ehr /services/HrpServices xm l外部实体注入漏洞
关联路径:/services/HrpServices
FOFA自查语法:
(title="人力资源信息管理系统"&&body="src=\"/images/hcm/copyright.gif\"")||body="src=\"/images/hcm/themes/default/login/login_banner2.png?v=12334\""||body="src=\"/general/sys/hjaxmanage.js\""||body="宏景软件版权所有"||banner="templates/index/hcmlogon.jsp"
关联资产数:1,365
全系产品可检测、可验证:CVD-2025-2885
10.Wifi-softUniBox /billing/pms_check.php 命令执行漏洞(CVE-2025-6104)
关联路径:/billing/pms_check.php
FOFA自查语法:
body="Unibox"&&body="Controller"||body="www.wifi-soft.com"
关联资产数:1,041
全系产品可检测、可验证:CVD-2025-2903
11.美特CRM /druid/websession.html 未授权访问漏洞
关联路径:/druid/websession.html
FOFA自查语法:
body="/common/sc ripts/basic.js"&&body="www.me tacrm.com.cn"
关联资产数:798
全系产品可检测、可验证:CVD-2025-2862
12.美特CRM /headimgsave SQL注入漏洞
关联路径:/headimgsave
FOFA自查语法:
body="/common/sc ripts/basic.js"&&body="www.me tacrm.com.cn"
关联资产数:798
全系产品可检测、可验证:CVD-2025-2909
13.章管家/api/personSeal_jdy/saveUser.htm未授权访问漏洞
关联路径:/api/personSeal_jdy/saveUser.htm
FOFA自查语法:
body="章管家登录-公章在外防私盖"&&body="1private2Extranet"
关联资产数:596
全系产品可检测、可验证:CVD-2025-2907
14.南北软件ERP/snsoft/tool/ListDir.jsp目录遍历漏洞
关联路径:/snsoft/tool/ListDir.jsp
FOFA自查语法:
body="action:'/snsoft/Login.jsp'"&&body="南北软件"
关联资产数:331
全系产品可检测、可验证:CVD-2025-2914
15.金和OA /jc6/servlet/WebBill 文件读取漏洞
关联路径:/jc6/servlet/WebBill
FOFA自查语法:
body="/jc6/platform/"||body="url=/jc6"||(body="c6/Jhsoft.Web.login"&&body="CloseWindowNoAsk")
关联资产数:159
全系产品可检测、可验证:CVD-2025-2690
16.紫光电子档案管理系统System/WorkFlow/download.html文件读取漏洞
关联路径:/System/WorkFlow/download.html
FOFA自查语法:
body="www.unissoft.com"&&title="登录"
关联资产数:143
全系产品可检测、可验证:CVD-2025-2854
17.扁鹊医疗/AppService/BQMedical/WebServiceForFirstaidApp.asmx/GetMonitorList SQL注入漏洞
关联路径:/AppService/BQMedical/WebServiceForFirstaidApp.asmx/GetMonitorList
FOFA自查语法:
body="ImagesNew/home/u.png"&&body="飞救医疗科技"
关联资产数:116
全系产品可检测、可验证:CVD-2025-2897
18.汉王e脸通综合管理平台/manage/alarm/queryAlarmEvent.do SQL注入漏洞
关联路径:/manage/alarm/queryAlarmEvent.do
FOFA自查语法:
(title="汉王智慧园区" && body="<link rel=\"icon\" href=\"/logo.png\"") || title="汉王e脸通" || body="hwzy99.com"
关联资产数:116
全系产品可检测、可验证:CVD-2025-2867
19.汉王e脸通综合管理平台 /manage/authMultiplePeople/queryManyPeopleGroupList.doSQL注入漏洞
关联路径:/manage/authMultiplePeople/queryManyPeopleGroupList.do
FOFA自查语法:
(title="汉王智慧园区" && body="<link rel=\"icon\" href=\"/logo.png\"") || title="汉王e脸通" || body="hwzy99.com"
关联资产数:115
全系产品可检测、可验证:CVD-2025-2856
20.汉王e脸通综合管理平台 /visitorMapConfig/uploadMapFile.do 文件上传漏洞
关联路径: /visitorMapConfig/uploadMapFile.do
FOFA自查语法:
title="汉王智慧园区" && body="<link rel=\"icon\" href=\"/logo.png\""
关联资产数:115
全系产品可检测、可验证:CVD-2025-2872
21.汉王e脸通综合管理台/manage/intercom/..;/..;/manage/meeting/meetingFileManage.do SQL注入漏洞
关联路径:/manage/meeting/meetingFileManage.do
FOFA自查语法:
(title="汉王智慧园区" && body="<link rel=\"icon\" href=\"/logo.png\"")
关联资产数:115
全系产品可检测、可验证:CVD-2025-2891
22.森鑫炬水务企业综合运营平台 /Data/File/Get 文件读取漏洞
关联路径:/Data/File/Get
FOFA自查语法:
title="森鑫炬水务企业综合运营平台-S8"||(body="Content/easyui.css"&&body="重庆森鑫炬科技有限公司")
关联资产数:72
全系产品可检测、可验证:CVD-2025-2852
23.国威IP数字语音系统/jsrpc/ajax_server.php命令执行漏洞
关联路径:/jsrpc/ajax_server.php
FOFA自查语法:
body="themes/tenant/css/login.css"&&body="深圳国威电子有限公司"
关联资产数:47
全系产品可检测、可验证:CVD-2025-2901
24.和达智慧水务/DataSrvs/UCCGSrv.asmx/GetSensorsSwitchStateSQL注入漏洞
关联路径:/DataSrvs/UCCGSrv.asmx/GetSensorsSwitchState
FOFA自查语法:
body="Downloads/HDPrintInstall.rar"&&body="Downloads/IE8-WindowsServer2003-x86-CHS.rar"
关联资产数:20
全系产品可检测、可验证:CVD-2025-2878
【免责声明】本文档提供的信息旨在帮助网络安全专业人员更好地理解和维护业务系统的安全性,严禁用于任何非法用途,任何未经授权使用或由此产生的后果和损失,均由使用者自行承担!
最新评论