J8-7金蝶-云星空-RCE 漏洞描述: 由于金蝶云星空数据通信默认采用的是二进制数据格式,需要进行序列化与反序列化,在此过程中未对数据进行签名或校验,导致客户端发出的数据可被攻击者恶意篡改,写入包含恶意代码的序列化数据,达到在服务端远程命令执行的效果。该漏洞不仅存在于金蝶云星空管理中心(默认800
J8-4金蝶-云星空-任意文件读取 漏洞描述: 金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。金蝶云·星空聚焦多组织,多利润中心的大中型企业,以 “开放、标准、社交”三大特性为数字经济时代的企业提供开放的 ERP 云平台。服务涵盖:财
J8-5金蝶-云星空-RCE 漏洞描述: 由于金蝶云星空数据通信默认采用的是二进制数据格式,需要进行序列化与反序列化,在此过程中未对数据进行签名或校验,导致客户端发出的数据可被攻击者恶意篡改,写入包含恶意代码的序列化数据,达到在服务端远程命令执行的效果。该漏洞不仅存在于金蝶云星空管理中心(默认800
J8-3金蝶-云星空-反序列化RCE 漏洞描述: 金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。金蝶云·星空聚焦多组织,多利润中心的大中型企业,以 “开放、标准、社交”三大特性为数字经济时代的企业提供开放的 ERP 云平台。服务涵盖:
J8-2金蝶-云星空-文件上传 漏洞描述: 金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。金蝶云·星空聚焦多组织,多利润中心的大中型企业,以 “开放、标准、社交”三大特性为数字经济时代的企业提供开放的 ERP 云平台。服务涵盖:财务、
J8-1金蝶-云星空-任意文件读取 漏洞描述: 金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。金蝶云·星空聚焦多组织,多利润中心的大中型企业,以 “开放、标准、社交”三大特性为数字经济时代的企业提供开放的 ERP 云平台。服务涵盖:财
J6-1江苏叁拾叁-OA-SQL 漏洞描述: 江苏叁拾叁信息技术有限公司 OA 存在 sql 注入。 影响版本: 江苏叁拾叁-OA 网站图片: 网络测绘: fofa语法: app=“江苏叁拾叁-OA” 漏洞复现: 登录处username参数存在漏洞 payload: POST /login HTTP
J7-1极限-OA-任意文件读取 漏洞描述: 极限OA网络智能办公系统代表先进的协同管理理念,采用领先的B/S方式,实现全球化远程办公和移动办公,是中国用户群最广泛的OA软件平台,企事业网络办公,远程办公,电子政务的首选。极限OA video_file.php处存在任意文件读取,攻击者可以从其中获取
J5-4九思-OA-XXE 漏洞复现: payload: POST /jsoa/WebServiceProxy HTTP/1.1 Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTM
J5-3九思-OA-任意文件上传 漏洞复现: payload: /jsoa/wpsforlinux/src/upload_l.jsp?openType=
J5-2九思-OA-任意文件读取 漏洞描述: 北京九思协同办公软件wap.do接口处存在任意文件读取漏洞,攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。 影响版本: 九思-OA 网站图片: 网络测绘: fofa语法: FOFA:
J4-4Jeeplus-快速开发平台-SQL 漏洞描述: JeePlus快速开发平台 resetPassword、registerUser等接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中
J5-1九思-OA-SQL 漏洞描述: 北京九思协同办公软件user_list_3g.jsp接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。 影响版本:
J4-3Jeeplus-快速开发平台-SQL 漏洞描述: JeePlus快速开发平台 resetPassword、registerUser等接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中
J4-2Jeeplus-快速开发平台-SQL 漏洞描述: JeePlus快速开发平台 validateMobile 接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务
J4-1Jeeplus快速开发平台-SQL 漏洞描述: JeePlus快速开发平台 validateMobileExist 接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步
J3-1JetBrainsTeamCity-PermissionAC 漏洞描述: JetBrains TeamCity发布新版本修复了两个高危漏洞JetBrains TeamCity 身份验证绕过漏洞(CVE-2024-27198)与JetBrains TeamCity 路径遍历漏洞(CVE-202
J3-2JetBrainsTeamCity-RCE 漏洞描述: JetBrains TeamCity 可通过访问 /app/rest/users/{{id}}/tokens/RPC2 端点获取对应 id 用户的有效 token,携带 admin token 访问受限端点导致远程命令执行或创建后台管理
J2-1京师心智-心理健康测评系统-InformationLeakage 漏洞描述: 京师心智心理健康测评系统 MyReport.ashx接口存在信息泄露漏洞,未经身份验证的攻击者可以利用此漏洞获取系统后台管理员账户密码凭证,并且解密后可登录后台页面,使系统处于极不安全的状态。 网站图片: 网络测绘
J1-21金和-OA-XXE 漏洞描述: 金和OA C6 XmlDeal.aspx 接口处存在XML实体注入漏洞,攻击者可利用xxe漏洞获取服务器敏感数据,可读取任意文件以及ssrf攻击,存在一定的安全隐患。 影响版本: 金和 OA 网站图片: 网络测绘: fofa语法: FOFA:app=“金和网
