【漏洞汇总】2024.2.26-3.3 1/N Day漏洞汇总【第十五期】

经团队多次沟通一致决定在合法合规的前提下，每周发布部分收录的通用组件1、N Day来进行公众号及团队宣传。

       自2019年至今，团队内部漏洞库数量已达4000+。

自动化漏洞实时收录1、Nday的来源不仅限于博客、各大安全平台、微信、Github、小蓝鸟等。漏洞库中近百0day，则由十余名头部厂商实验室、红队成员资源共享而来。

愿关注猫蛋儿的你，每周都能最高效率地吸收最新漏洞。祝你"学有所成,不负韶华"，每次项目都能通过学到的漏洞完成项目，卷过别人保住自己不被裁员！

2024年2月26日-3月3日部分漏洞简要信息如下，后台回复“漏洞汇总”获取完整POC数据包。

1.CMS Made Simple 前台SQL注入漏洞

/moduleinterface.php?mact

2.鸿运(通天星CMSV6车载)主动安全监控云平台存在敏感信息泄露

/808gps/StandardLoginAction_getAllUser.action

3.鸿运(通天星CMSV6车载)主动安全监控云平台存在任意文件读取

/808gps/StandardReportMediaAction_getImage.action

4.Ivanti Pulse Connect Secure VPN XXE 漏洞

/dana-na/auth/saml-sso.cgi

5.Pyload未授权访问漏洞(CVE-2024-21644)

/render/info.html

6.云时空ERP系统任意文件上传

/servlet/fileupload/gpy

7.蓝凌OA WechatLoginHelper.do SQL注入

/third/wechat/wechatLoginHelper.do

8.用友 U8 Cloud U8cuapws接口存在SQL注入

/u8cuapws/rest/archive/verify

9.aiohttp 路径遍历漏洞 (CVE-2024-23334)

/static/../../../../../etc/passwd

10.用友U8 Cloud smartweb2.RPC.d xxe漏洞

/hrss/dorado/smartweb2.RPC.d?__rpc=true

完整漏洞列表见下图