【漏洞汇总】2024.1.1-1.7 1/N Day漏洞汇总【第九期】

       经团队多次沟通一致决定在合法合规的前提下，每周发布部分收录的通用组件1、N Day来进行公众号及团队宣传。

       自2019年至今，团队内部漏洞库数量已达4000+。

       自动化漏洞实时收录1、Nday的来源不仅限于博客、各大安全平台、微信、Github、小蓝鸟等。漏洞库中近百0day，则由十余名头部厂商实验室、红队成员资源共享而来。

       愿关注猫蛋儿的你，每周都能最高效率地吸收最新漏洞。祝你"学有所成,不负韶华"，每次项目都能通过学到的漏洞完成项目，卷过别人保住自己不被裁员！

      2024年1月1日-1月7日部分漏洞简要信息如下，后台回复“漏洞汇总”获取完整POC数据包。

1.OfficeWeb365 Indexs 任意文件读取

/Pic/Indexs?imgs

2.天融信TOPSEC Cookie 远程命令执行漏洞

/cgi/maincgi.cgi?Url

3.任我行CRM系统SmsDataList接口存在SQL注入

/SMS/SmsDataList/?pageIndex=1&pageSize=30

4.天融信TOPSEC static_convert 远程命令执行

/view/IPV6/naborTable/static_convert.php

5.D-LINK DAR-7000系列上网行为审计网关存在后端SQL注入漏洞

/sysmanage/editrole.php

6.CVE-2023-47473 企语iFair协同管理系统 任意文件读取

/oa/common/components/upload/getuploadimage.jsp?imageURL

7.飞企互联-FE企业运营管理平台-登录绕过

/loginService.fe?op=D

8.I doc view qJvqhFt 任意文件读取

/view/qJvqhFt.json?start=1&size=5&url

9.iDocview某接口存在任意文件读取

/view/url?url

10.全程云OA userIdList存在SQL注入漏洞

/oa/pm/svc.asmx

完整漏洞列表见下图