华顺信安漏洞简报2025年7月26日

资产测绘：https://fofa.info/

查看漏洞详情：Goby漏洞更新

【网传漏洞情报汇总】

总计发现网传情报431条（包含验真后的Nday情报）

截止今日，已收录217条

【7月26日漏洞情报汇总】

今日新增发现漏洞情报6条：其中历史收录2条，新增收录4条

1. 东胜物流软件 /WebService/DsWebService.asmx SQL 注入漏洞

关联路径：/WebService/DsWebService.asmx

FOFA自查语法：

(body="FeeCodes/CompanysAdapter.aspx" || body="dhtmlxcombo_whp.js" || body="dongshengsoft" || body="theme/dhtmlxcombo.css") && body="东胜"

关联资产数：1,227

全系产品可检测、可验证：CVD-2025-3499

2. 索贝内容管理系统 /sobey-mchEditor/mch/statistics/wxarticleList SQL 注入漏洞

关联路径：/sobey-mchEditor/mch/statistics/wxarticleList

FOFA自查语法：

body="You need to enable ja vasc ript to run this app" && header="Sobey"

关联资产数：52

全系产品可检测、可验证：CVD-2025-3495

3. 用友-U8-Cloud /u8cloud/api/uapbd.costsubj.assign SQL 注入漏洞

关联路径：/u8cloud/api/uapbd.costsubj.assign

FOFA自查语法：

title=="U8C" && body="src=\"img/arr.png\""

关联资产数：7,173

全系产品可检测、可验证：CVD-2025-3490

4. SysAid On-Prem /mdm/serverurl xm l 外部实体注入漏洞（CVE-2025-2776）

关联路径：/mdm/serverurl

FOFA自查语法：

title="SysAid" || body="href=\"http://www.sysaid.com\"" || body="by SysAid" || (body="webfonts.css" && (body="/api/v1/login/guest" || title="SSO Login"))

关联资产数：1,997

全系产品可检测、可验证：CVD-2025-3476

5. 用友 U8 Cloud LoginVideoServlet 远程代码执行漏洞

关联路径：/service/~uap/nc.bs.sm.login2.LoginVideoServlet

FOFA自查语法：

body="请下载新版UClient"

关联资产数：7,173

全系产品可检测、可验证：CVD-2023-3111，往期已发布，发布时间2023-10

6. 用友U8 Cloud /ESBInvokerServlet 反序化代码执行漏洞

关联路径：/servlet/ESBInvokerServlet

FOFA自查语法：

body="请下载新版UClient"

关联资产数：7,173

全系产品可检测、可验证：CVD-2024-3426，往期已发布，发布时间2024-08

【免责声明】本文档提供的信息旨在帮助网络安全专业人员更好地理解和维护业务系统的安全性，严禁用于任何非法用途，任何未经授权使用或由此产生的后果和损失，均由使用者自行承担！