【漏洞汇总】2024.1.29-2.4 1/N Day漏洞汇总【第十三期】

经团队多次沟通一致决定在合法合规的前提下，每周发布部分收录的通用组件1、N Day来进行公众号及团队宣传。

       自2019年至今，团队内部漏洞库数量已达4000+。

自动化漏洞实时收录1、Nday的来源不仅限于博客、各大安全平台、微信、Github、小蓝鸟等。漏洞库中近百0day，则由十余名头部厂商实验室、红队成员资源共享而来。

愿关注猫蛋儿的你，每周都能最高效率地吸收最新漏洞。祝你"学有所成,不负韶华"，每次项目都能通过学到的漏洞完成项目，卷过别人保住自己不被裁员！

2024年1月29日-2月4日部分漏洞简要信息如下，后台回复“漏洞汇总”获取完整POC数据包。

1.SourceCodester在线旅游管理系统SQL注入

/admin/operations/expense.php

2.CVE-2024-0882 LinkWechat-Scrm 任意文件读取

/linkwechat-api/common/download/resource

3.任我行 CRM SmsDataList SQL注入

/SMS/SmsDataList/?pageIndex=1&pageSize=30

4.用友系统-U9企业版存在任意文件上传漏洞

/CS/Office/AutoUpdates/PatchFile.asmx

5.Goanywhere MFT 未授权创建管理员 CVE-2024-0204

/goanywhere/images/..;/wizard/InitialAccountSetup.xhtml

6.教培系统EduSoho任意文件读取漏洞

/export/classroom-course-statistics

7.亿赛通 电子文档安全管理系统 UploadFileList任意文件读取漏洞

/CDGServer3/document/UploadFileList;login

8.Tenda路由器DownloadCfg信息泄露

/cgi-bin/DownloadCfg.jpg

9.大华智慧园区综合管理平台bitmap接口存在任意文件上传漏洞

/emap/webservice/gis/soap/bitmap

10.奇安信网神防火墙 文件上传

/?g=app_av_import_save

完整漏洞列表见下图