华顺信安漏洞简报2025年7月10日

资产测绘：https://fofa.info/

查看漏洞详情：Goby漏洞更新

【网传漏洞情报汇总】

总计发现网传情报223条（包含验真后的Nday情报）

截止今日，已收录113条

【7月10日漏洞情报汇总】

今日新增发现漏洞情报9条：往期已发布4条，新增收录5条

1. GeoServer /geoserver/TestWfsPost 服务器端请求伪造漏洞（CVE-2024-29198）

关联路径：/geoserver/TestWfsPost

FOFA自查语法：

body="/org.geoserver.web.GeoServerba sePage/" || body="class=\"geoserver lebeg" || body="/webapps/geoserver" || (body="window.location.replace(\"web/\");" && body="geoserver") || title="GeoServer"

关联资产数：19,279

全系产品可检测、可验证：CVD-2025-3061

2. GeoServer /geoserver/wfs xm l 外部实体注入漏洞（CVE-2025-30220）

关联路径：/geoserver/wfs

FOFA自查语法：

body="/org.geoserver.web.GeoServerba sePage/" || body="class=\"geoserver lebeg" || body="/webapps/geoserver" || (body="window.location.replace(\"web/\");" && body="geoserver") || title="GeoServer"

关联资产数：19,279

全系产品可检测、可验证：CVD-2025-3055

3. 灵当CRM /crm/modules/XlsImportNew/documentEntry/XlsFileUpload.php 文件上传漏洞

关联路径：/crm/modules/XlsImportNew/documentEntry/XlsFileUpload.php

FOFA自查语法：

title="灵当CRM" && body="ldcrm.ba se.js"

关联资产数：3,025

全系产品可检测、可验证：CVD-2025-3047

4. 华天动力 OA /OAapp/jsp/trace_eWebEditor/downloadfortrace.jsp 文件读取漏洞

关联路径：/OAapp/jsp/trace_eWebEditor/downloadfortrace.jsp

FOFA自查语法：

body="/OAapp/Webob jects/OAapp.woa" || body="/OAapp/htpages/app" || (body="OA8000" && body="华天软件")

关联资产数：36,497

全系产品可检测、可验证：CVD-2025-3039

5. 用友U8 Cloud /u8cloud/api/hrta/returnleave/submit SQL 注入漏洞

关联路径：/u8cloud/api/hrta/returnleave/submit

FOFA自查语法：

title=="U8C" && body="请下载新版UClient"

关联资产数：7,259

全系产品可检测、可验证：CVD-2025-3023

6. 泛微OA办公系统 PluginViewServlet 认证绕过漏洞

关联路径：PluginViewServlet

FOFA自查语法：

(header="testBanCookie" || banner="testBanCookie" || body="/wui/common/css/w7OVFont.css" || (body="typeof poppedWindow" && body="client/jquery.client_wev8.js") || body="/theme/ecology8/jquery/js/zDialog_wev8.js" || body="ecology8/lang/weaver_lang_7_wev8.js")

关联资产数：56,010

全系产品可检测、可验证：CVD-2023-1018，往期已发布，发布时间2023-02

7. RG-MCP云营销平台 /thirdWifiOpen/thirdWifiOpen!setAppIdAuthen.action 命令执行漏洞

关联路径： /thirdWifiOpen/thirdWifiOpen!setAppIdAuthen.action

FOFA自查语法：

body="锐捷网络股份有限公司" && body="营销云平台"

关联资产数：50

全系产品可检测、可验证：CVD-2024-2723，往期已发布，发布时间2024-06

8. 环境空气质量联网管理平台 /Default/FileUpload 文件上传漏洞

关联路径： /Default/FileUpload

FOFA自查语法：

body="技术支持：丹东瑞特科技有限公司" || body="/sc ripts/Validator/jquery.validation.js"

关联资产数：57

全系产品可检测、可验证：CVD-2024-2361，往期已发布，发布时间2024-05

9. H3C Magic R300-2100M /goform/aspForm 远程命令执行漏洞（CVE-2023-33629）

关联路径：/goform/aspForm

FOFA自查语法：

header="Server: H3C-Miniware-Webs" && title="系统管理"

关联资产数：79,452 

全系产品可检测、可验证：CVD-2024-1007，往期已发布，发布时间2024-10