华顺信安漏洞简报2025年7月24日

资产测绘：https://fofa.info/

查看漏洞详情：Goby漏洞更新

【网传漏洞情报汇总】

总计发现网传情报411条（包含验真后的Nday情报）

截止今日，已收录205条

【7月24日漏洞情报汇总】

今日新增发现漏洞情报6条：往期已发布3条，新增收录3条

1. ZKTime 时间精细化管理平台 /api/get_visitor_info 信息泄露漏洞

关联路径：/api/get_visitor_info

FOFA自查语法：

title="ZKTime" || body="/media/images/ZKECO16.ico" || (body="ZKTeco Security LLC" && body="/media/jslib/ba seISSob ject.js")

关联资产数：9,587

全系产品可检测、可验证：CVD-2024-1223，往期已发布，发布时间2024-04

2. 弥特全流程追溯系统 /api/org/enterpriseaccountnoauth/geticp SQL 注入漏洞

关联路径：/api/org/enterpriseaccountnoauth/geticp

FOFA自查语法：

(body="chunk-libs.45edf705.css" && title="产品追溯系统") || title="4.1.0追溯系统"

关联资产数：3,624

全系产品可检测、可验证：CVD-2024-1626，往期已发布，发布时间2024-04

3. 建研建设工程质量检测信息管理系统 /sc ripts/admintool 文件读取漏洞

关联路径： /sc ripts/admintool 

FOFA自查语法：

(body="/Content/Theme/Standard/webSite/login.css" && body="/Content/Theme/Standard/webSite/images/bg.jpg") || body="Login/QRLogin.ashx"

关联资产数：866

全系产品可检测、可验证：CVD-2024-1312，往期已发布，发布时间2024-04

4. 普华 Powerpms /PowerPlat/Control/FileBrowserPdf.ashx SQL 注入漏洞

关联路径：/PowerPlat/Control/FileBrowserPdf.ashx

FOFA自查语法：

body="AppHub.server.registerToHub(qrcodeid)" && body="/App_Themes/Default/assets/css/style.min.css" && body!="/sc ripts/boot.js"

关联资产数：680

全系产品可检测、可验证：CVD-2025-3432

5. 金和OA /C6/JHSoft.Web.WorkFlat/CheckPwd.aspx/ xm l 外部实体注入漏洞

关联路径：/C6/JHSoft.Web.WorkFlat/CheckPwd.aspx/

FOFA自查语法：

title="金和协同管理平台" || body="js/PasswordCommon.js" || body="js/PasswordNew.js" || body="Jinher Network" || (body="c6/Jhsoft.Web.login" && body="CloseWindowNoAsk") || body="/jc6/WEB-INF/jsp/platform/sys/login/finallogin.jsp"

关联资产数：75

全系产品可检测、可验证：CVD-2025-3436

6. 森鑫炬水务企业综合运营平台 /Forms/Instance/Get 文件读取漏洞

关联路径：/Forms/Instance/Get

FOFA自查语法：

title="森鑫炬水务企业综合运营平台 - S8"|| (body="Content/easyui.css" && body="重庆森鑫炬科技有限公司")

关联资产数：69

全系产品可检测、可验证：CVD-2025-3429

【免责声明】本文档提供的信息旨在帮助网络安全专业人员更好地理解和维护业务系统的安全性，严禁用于任何非法用途，任何未经授权使用或由此产生的后果和损失，均由使用者自行承担！