创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高精准高价值威胁情报、安全态势、攻防策略;持续全场景赋能知道创宇全产品矩阵和安全托管服务。
创宇安全智脑目前已经联动支撑知道创宇全产品矩阵,包括:创宇盾、抗D保、ScanV、ZoomEye、创宇蜜罐、创宇云图、创宇云影、创宇猎幽、创宇威胁情报网关等。
本周更新漏洞插件30个,其中重点插件10个,以下为本周重点插件更新详情如下:
更新列表
等级 | 插件名称 | 漏洞 类型 | 发布 类型 |
高危 | 快普M6 SalaryAccounting.asmx 未授权SQL注入 | WEB | 新增 |
高危 | I Doc View 在线文档预览系统 upload 任意文件读取 | WEB | 新增 |
高危 | 亿赛通电子文档安全管理系统 EmailAuditService 远程代码执行 | WEB | 新增 |
高危 | 用友 NC Cloud OAUserQryServlet 反序列化远程代码执行 | WEB | 新增 |
高危 | 用友 NC Cloud importhttpscer 任意文件上传 | WEB | 新增 |
高危 | 科荣 AIO 管理系统 getFileList 目录遍历 | WEB | 新增 |
高危 | 科荣 AIO 管理系统 getPicFile 任意文件读取 | WEB | 新增 |
高危 | 用友 NC Cloud ResourceManagerServlet 远程代码执行 | WEB | 新增 |
高危 | 科荣 AIO 管理系统 saveFormatFile 任意文件上传 | WEB | 新增 |
高危 | 用友GRP-U8 FileUpload 任意文件上传 | WEB | 新增 |
漏洞详情
新增插件:
1、快普M6 SalaryAccounting.asmx 未授权SQL注入
发布时间:2023-12-25
漏洞等级:高危
漏洞来源:创宇安全智脑
漏洞描述:
快普M6是厦门快普信息技术有限公司开发的一款财务管理软件。快普M6 SalaryAccounting.asmx 接口由于对用户输入参数过滤不严,存在SQL注入漏洞。未经授权的攻击者可以利用该漏洞获取数据库数据,窃取系统敏感信息。
漏洞危害:
未经授权的攻击者可以利用该漏洞获取数据库数据,窃取系统敏感信息。
建议解决方案:
1、官方暂未提供漏洞修复方案,请密切关注官方更新;2、使用创宇盾(https://defense.yunaq.com/)等WAF防护措施。
影响范围:
根据ZoomEye网络空间搜索引擎关键字 app:"快普 M6" 对潜在可能目标进行搜索,共得到18764条IP历史记录。主要分布在中国。
(ZoomEye搜索链接:
https://www.zoomeye.org/searchResult?q=app%3A%22%E5%BF%AB%E6%99%AE%20M6%22)
区域分布:
2、I Doc View 在线文档预览系统 upload 任意文件读取
发布时间:2023-12-21
漏洞等级:高危
漏洞来源:创宇安全智脑
漏洞描述:
I Doc View,即IDocV的全称,是一家跨国在线文档预览服务公司,提供第三方API可供调用。I Doc View doc/upload 接口由于未充分过滤,存在任意文件读取漏洞。未经授权的攻击者可以通过该漏洞读取系统任意文件,获取敏感信息。
漏洞危害:
未经授权的攻击者可以通过该漏洞读取系统任意文件,获取敏感信息。
建议解决方案:
官方已修复该漏洞,请及时更新到最新版本。
影响范围:
根据ZoomEye网络空间搜索引擎关键字 app:"I Doc View" 对潜在可能目标进行搜索,共得到2086条IP历史记录。主要分布在中国。
(ZoomEye搜索链接:
https://www.zoomeye.org/searchResult?q=app%3A%22I%20Doc%20View%22)
区域分布:
3、亿赛通电子文档安全管理系统 EmailAuditService 远程代码执行
发布时间:2023-12-20
漏洞等级:高危
漏洞来源:创宇安全智脑
漏洞描述:
亿赛通电子文档安全管理系统以数据资产防泄密为核心,涵盖文档安全、终端安全、防勒索、安全态势、集团管控五大板块。亿赛通电子文档安全管理系统存在远程代码执行漏洞。恶意攻击者可以利用该漏洞远程执行任意代码,获取系统权限。
漏洞危害:
恶意攻击者可以利用该漏洞远程执行任意代码,获取系统权限。
建议解决方案:
及时更新至最新版本,使用 Web 应用程序防火墙等安全工具来检测和阻止已知攻击模式,防止漏洞被利用。
影响范围:
根据ZoomEye网络空间搜索引擎关键字 app:"亿赛通电子文档安全管理系统" 对潜在可能目标进行搜索,共得到11124条IP历史记录。主要分布在中国、阿拉伯联合酋长国。
(ZoomEye搜索链接:
https://www.zoomeye.org/searchResult?q=app%3A%22%E4%BA%BF%E8%B5%9B%E9%80%9A%E7%94%B5%E5%AD%90%E6%96%87%E6%A1%A3%E5%AE%89%E5%85%A8%E7%AE%A1%E7%90%86%E7%B3%BB%E7%BB%9F%22)
区域分布:
4、用友 NC Cloud OAUserQryServlet 反序列化远程代码执行
发布时间:2023-12-27
漏洞等级:高危
漏洞来源:创宇安全智脑
漏洞描述:
用友 NC Cloud大型企业数字化平台,深度应用新一代数字技术,打造开放、 互联、融合、智能的一体化云平台。用友 NC Cloud OAUserQryServlet接口存在反序列化漏洞,未经授权的攻击者可以利用该漏洞远程执行任意代码,获取系统权限。
漏洞危害:
未经授权的攻击者可以利用该漏洞远程执行任意代码,获取系统权限。
建议解决方案:
官方已发布补丁修复该漏洞,请及时安装漏洞补丁。参考链接:https://security.yonyou.com/#/noticeInfo?id=285。
影响范围:
根据ZoomEye网络空间搜索引擎关键字 app:"Yonyou NC Cloud" 对潜在可能目标进行搜索,共得到5231条IP历史记录。主要分布在中国。
(ZoomEye搜索链接:
https://www.zoomeye.org/searchResult?q=app%3A%22Yonyou%20NC%20Cloud%22)
区域分布:
5、用友 NC Cloud importhttpscer 任意文件上传
发布时间:2023-12-26
漏洞等级:高危
漏洞来源:创宇安全智脑
漏洞描述:
用友 NC Cloud大型企业数字化平台,深度应用新一代数字技术,打造开放、 互联、融合、智能的一体化云平台。用友 NC Cloud 存在任意文件上传漏洞。未经授权的远程攻击者可上传恶意文件至服务器,远程执行任意代码,获取系统权限。
漏洞危害:
未经授权的远程攻击者可上传恶意文件至服务器,远程执行任意代码,获取系统权限。
建议解决方案:
及时更新至最新版本,使用白名单进行验证,并将上传文件保存在非 Web 可访问的目录中。
影响范围:
根据ZoomEye网络空间搜索引擎关键字 app:"Yonyou NC Cloud" 对潜在可能目标进行搜索,共得到5231条IP历史记录。主要分布在中国。
(ZoomEye搜索链接:
https://www.zoomeye.org/searchResult?q=app%3A%22Yonyou%20NC%20Cloud%22)
区域分布:
6、科荣 AIO 管理系统 getFileList 目录遍历
发布时间:2023-12-26
漏洞等级:高危
漏洞来源:创宇安全智脑
漏洞描述:
科荣 AIO 管理系统是深圳市科荣软件股份有限公司开发的一款企业管理系统。科荣 AIO 管理系统存在目录遍历漏洞。未经授权的远程攻击者可以利用该漏洞,造成敏感信息泄露。
漏洞危害:
未经授权的远程攻击者可以利用该漏洞,造成敏感信息泄露。
建议解决方案:
确保使用时进行输入验证和过滤,以防止参数中包含非法目录遍历字符。
影响范围:
根据ZoomEye网络空间搜索引擎关键字 app:"科荣 AIO 管理系统" 对潜在可能目标进行搜索,共得到8581条IP历史记录。主要分布在中国。
(ZoomEye搜索链接:
https://www.zoomeye.org/searchResult?q=app%3A%22%E7%A7%91%E8%8D%A3%20AIO%20%E7%AE%A1%E7%90%86%E7%B3%BB%E7%BB%9F%22)
区域分布:
7、科荣 AIO 管理系统 getPicFile 任意文件读取
发布时间:2023-12-26
漏洞等级:高危
漏洞来源:创宇安全智脑
漏洞描述:
科荣 AIO 管理系统是深圳市科荣软件股份有限公司开发的一款企业管理系统。科荣 AIO 管理系统 getPicFile 功能中由于错误的路径拼接导致任意文件读取漏洞。未经授权的远程攻击者可以利用该漏洞,造成敏感信息泄露。
漏洞危害:
未经授权的远程攻击者可以利用该漏洞,造成敏感信息泄露。
建议解决方案:
使用白名单限定访问文件的路径、名称及后缀名,严格过滤用户输入字符的合法性,比如文件类型、文件地址、文件内容等,并确保使用时进行输入验证和过滤,以防止参数中包含非法字符。
影响范围:
根据ZoomEye网络空间搜索引擎关键字 app:"科荣 AIO 管理系统" 对潜在可能目标进行搜索,共得到8581条IP历史记录。主要分布在中国。
(ZoomEye搜索链接:
https://www.zoomeye.org/searchResult?q=app%3A%22%E7%A7%91%E8%8D%A3%20AIO%20%E7%AE%A1%E7%90%86%E7%B3%BB%E7%BB%9F%22)
区域分布:
8、用友 NC Cloud ResourceManagerServlet 远程代码执行
发布时间:2023-12-26
漏洞等级:高危
漏洞来源:创宇安全智脑
漏洞描述:
用友 NC Cloud大型企业数字化平台,深度应用新一代数字技术,打造开放、 互联、融合、智能的一体化云平台。用友 NC Cloud 存在远程代码执行漏洞。恶意攻击者可以利用该漏洞远程执行任意代码,获取系统权限。
漏洞危害:
恶意攻击者可以利用该漏洞远程执行任意代码,获取系统权限。
建议解决方案:
及时更新至最新版本,使用 Web 应用程序防火墙等安全工具来检测和阻止已知攻击模式,防止漏洞被利用。
影响范围:
根据ZoomEye网络空间搜索引擎关键字 app:"Yonyou NC Cloud" 对潜在可能目标进行搜索,共得到5231条IP历史记录。主要分布在中国。
(ZoomEye搜索链接:
https://www.zoomeye.org/searchResult?q=app%3A%22Yonyou%20NC%20Cloud%22)
区域分布:
9、科荣 AIO 管理系统 saveFormatFile 任意文件上传
发布时间:2023-12-26
漏洞等级:高危
漏洞来源:创宇安全智脑
漏洞描述:
科荣 AIO 管理系统是深圳市科荣软件股份有限公司开发的一款企业管理系统。科荣 AIO 管理系统存在任意文件上传漏洞。未经授权的远程攻击者可上传恶意文件至服务器,远程执行任意代码,获取系统权限。
漏洞危害:
未经授权的远程攻击者可上传恶意文件至服务器,远程执行任意代码,获取系统权限。
建议解决方案:
使用白名单进行验证,限制上传路径,并将上传文件保存在非 Web 可访问的目录中。
影响范围:
根据ZoomEye网络空间搜索引擎关键字 app:"科荣 AIO 管理系统" 对潜在可能目标进行搜索,共得到8581条IP历史记录。主要分布在中国。
(ZoomEye搜索链接:
https://www.zoomeye.org/searchResult?q=app%3A%22%E7%A7%91%E8%8D%A3%20AIO%20%E7%AE%A1%E7%90%86%E7%B3%BB%E7%BB%9F%22)
区域分布:
10、用友GRP-U8 FileUpload 任意文件上传
发布时间:2023-12-26
漏洞等级:高危
漏洞来源:创宇安全智脑
漏洞描述:
用友GRP-U8 财务管理软件是用友公司开发的专业的财务管理软件,用友GRP-U8 FileUpload 接口存在任意文件上传。攻击者可以利用此漏洞上传任意恶意文件,从而远程执行任意代码,获取服务器权限。
漏洞危害:
攻击者可以利用此漏洞上传任意恶意文件,从而远程执行任意代码,获取服务器权限。
建议解决方案:
官方已发布补丁修复该漏洞,请及时更新到最新版本。
影响范围:
根据ZoomEye网络空间搜索引擎关键字 app:"用友GRP-U8" 对潜在可能目标进行搜索,共得到4544条IP历史记录。主要分布在xxx、xxx等国家。
(ZoomEye搜索链接:
https://www.zoomeye.org/searchResult?q=app%3A%22%E7%94%A8%E5%8F%8BGRP-U8%22)
区域分布:
ScanV
为网站及业务系统提供全生命周期的外部攻击面管理(EASM)能力,从攻击者视角出发,开展漏洞监测、漏洞响应、漏洞预警等深度漏洞治理工作,实时更新漏洞情报数据,持续性跟踪风险、快速定位威胁。
WebSOC
是面向行业区域监管机构、集团信息中心量身定制的能大范围快速发现高危Web漏洞及安全事件的硬件监测系统,产品具备扫描快、结果准、取证全的核心特质,能帮助客户快速、全面发现其管辖区域内的安全事件,生成完整通报证据链,方便通报到相关单位以促使其快速整改,帮助监管机构有效履行监管职责。
ZoomEye Pro
是面向企事业单位研发的一款网络资产扫描与管理系统。采用对全球测绘10余年的ZoomEye同款主动探测引擎,结合被动探测引擎,以及与ZoomEye云地联动的方式,能够全面采集内外网资产并统一管理。基于SeeBug漏洞平台、创宇安全智脑的能力,能够快速更新高威胁漏洞插件并对全部资产进行漏洞影响面分析。具备资产发现能力快速精准、资产指纹信息丰富、资产分类清晰直观、漏洞响应能力强的特点。帮助客户从攻击者视角持续发现内外网资产以及高风险问题,有效降低安全风险。
为帮助您快速感知威胁,激活防御体系,守护业务安全!
我们建议您订阅创宇安全智脑-威胁情报订阅服务,获取更多威胁情报详情以及处置建议。
点击阅读原文 获取更多信息
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...