主要观点总结
文章列出了多个关于不同系统和软件存在的安全漏洞,这些漏洞涉及SQL注入、远程代码执行、身份验证绕过等,并提供相关的漏洞编号和受影响系统名称。同时,文章还提到了“追洞学苑”知识星球平台,该平台会分享最新的漏洞信息。
关键观点总结
关键观点1: 列出多个安全漏洞及其相关信息
文章详细列出了多个安全漏洞,包括SQL注入、远程代码执行等,涉及多个系统和软件,如H3C-iMC智能管理中心、赛蓝企业管理系统等。
关键观点2: 提到“追洞学苑”知识星球平台
文章提到了“追洞学苑”知识星球平台,该平台会分享最新的漏洞信息,包括nday/1day/0day poc等,并欢迎红蓝队朋友们的加入,也支持投稿原创漏洞或复现文章。
关键观点3: 提供优惠和商务合作信息
文章提到关注公众号满6个月可领取8折优惠券,并提供了商务合作联系方式,包括CTF培训、代码审计、渗透测试等服务。
文章预览
以下所有漏洞完整poc均已上传 至 “追洞学苑”知识星球。 演练期间重点关注漏洞: 1.万户 ezOFFICE接口graph_include.jsp存在SQL注入漏洞 2.JeecgBoot-:jmreport:save表达式注入漏洞-补上次 3.H3C-iMC智能管理中心autoDeploy.xhtml存在远程代码执行漏洞 4.亿赛通电子文档安全管理系统CDGAuthoriseTempletService1存在SQL注 5.H3C-iMC智能管理中心login.jsf存在远程代码执行漏洞 6.赛蓝企业管理系统SubmitUploadify存在任意文件上传漏洞 7.云时空社会化商业ERP系统online存在身份认证绕过漏洞 8.DzzOffice协同办公平台存在目录遍历漏洞 9.H3C iMC智能管理中心byod:index.xhtml远程代码执行漏洞 10.赛蓝企业管理系统GetCssFile存在任意文件读取漏洞 11.同享人力系统hdlUploadFile接口存在任意文件上传 12.Apache OFBiz 授权不当致代码执行漏洞(CVE-2024-38856) 13.用友NC系统complainjudge存在SQL注入漏洞 14.易捷OA协同办公软件
………………………………
