【漏洞汇总】2023.12.11-12.17 1/N Day漏洞汇总【第六期】

       经团队多次沟通一致决定在合法合规的前提下，每周发布部分收录的通用组件1、N Day来进行公众号及团队宣传。

       自2019年至今，团队内部漏洞库数量已达4000+。

       自动化漏洞实时收录1、Nday的来源不仅限于博客、各大安全平台、微信、Github、小蓝鸟等。漏洞库中近百0day，则由十余名头部厂商实验室、红队成员资源共享而来。

       愿关注猫蛋儿的你，每周都能最高效率地吸收最新漏洞。祝你"学有所成,不负韶华"，每次项目都能通过学到的漏洞完成项目，卷过别人保住自己不被裁员！

      2023年12月11日-12月17日部分漏洞简要信息如下，后台回复“漏洞汇总”获取完整POC数据包。

1.奥威亚视频云平台VideoCover.aspx接口存在任意文件上传

/Tools/Video/VideoCover.aspx

2.JieLink+智能终端操作平台存在通用弱口令

账号：9999密码：123456

3.浙江宇视 isc 网络视频录像机 LogReport.php 远程命令执行

/Interface/LogReport/LogReport.php?action=

4.RuoYi 后台SQL注入（CVE-2023-49371）

/system/dept/edit

5.泛微云桥 e-Bridge SQL注入

/taste/addTaste?company=1&userName=1&openid=1&source=1&mobile=1

6.Panabit-Panalog sprog_deletevent SQL注入

 /Maintain/sprog_deletevent.php?openid=1&id=1

7.pyLoad 远程代码执行漏洞

/flash/addcrypted2

8.思福迪运维安全管理系统 test_qrcode_b RCE漏洞

/bhost/test_qrcode_b

9.Milesight Router httpd.log 信息泄漏(CVE-2023-4714)

/lang/log/httpd.log

10.X户 ezOFFICE DocumentEdit.jsp SQL注入

/defaultroot/iWebOfficeSign/OfficeServer.jsp/../../public/iSignatureHTML.jsp/DocumentEdit.jsp?DocumentID=1

完整漏洞列表见下图