【漏洞汇总】2024.3.4-3.10 1/N Day漏洞汇总【第十六期】

经团队多次沟通一致决定在合法合规的前提下，每周发布部分收录的通用组件1、N Day来进行公众号及团队宣传。

       自2019年至今，团队内部漏洞库数量已达4000+。

自动化漏洞实时收录1、Nday的来源不仅限于博客、各大安全平台、微信、Github、小蓝鸟等。漏洞库中近百0day，则由十余名头部厂商实验室、红队成员资源共享而来。

愿关注猫蛋儿的你，每周都能最高效率地吸收最新漏洞。祝你"学有所成,不负韶华"，每次项目都能通过学到的漏洞完成项目，卷过别人保住自己不被裁员！

2024年3月4日-3月10日部分漏洞简要信息如下，后台回复“漏洞汇总”获取完整POC数据包。

1.蓝凌EIS智慧协同平台rpt_listreport_definefield.aspx接口存在SQL注入漏洞

/SM/rpt_listreport_definefield.aspx

2.锐捷Ruijie-UAC online_check.php远程RCE漏洞

/view/vpn/autovpn/online_check.php

3.广联达Linkworks DataExchange.ashx XXE漏洞

/GB/LK/Document/DataExchange/DataExchange.ashx

4.用友GRP-U8 ufgovbank XXE漏洞

/ufgovbank

5.WyreStorm Apollo VX20 信息泄露漏洞

/device/config

6.海翔 ERP getylist_login sql注入

/getylist_login.do

7.Laykefu客服系统任意文件上传

/admin/users/upavatar.html

8.用友NC saveDoc.ajax任意文件上传漏洞

/uapws/saveDoc.ajax

9.telesquare tlr2005 getusernamepassword 信息泄露漏

/cgi-bin/admin.cgi

10.订货易管家婆在线商城 VshopProcess 任意文件上传

/API/VshopProcess.ashx

完整漏洞列表见下图