【漏洞汇总】2024.4.8-4.14 1/N Day漏洞汇总【第二十一期】

经团队多次沟通一致决定在合法合规的前提下，每周发布部分收录的通用组件1、N Day来进行公众号及团队宣传。

       自2019年至今，团队内部漏洞库数量已达4000+。

自动化漏洞实时收录1、Nday的来源不仅限于博客、各大安全平台、微信、Github、小蓝鸟等。漏洞库中近百0day，则由十余名头部厂商实验室、红队成员资源共享而来。

愿关注猫蛋儿的你，每周都能最高效率地吸收最新漏洞。祝你"学有所成,不负韶华"，每次项目都能通过学到的漏洞完成项目，卷过别人保住自己不被裁员！

2024年4月8日-4月14日部分漏洞简要信息如下，后台回复“漏洞汇总”获取完整POC数据包。

1.D-Link产品远程命令执行漏洞(CVE-2024-3273)

/cgi-bin/nas_sharing.cgi

2.泰博云平台solr接口存在SSRF漏洞

/solr/collection1/replication/

3.OpenMetadata condition接口处存在RCE漏洞

/api/v1;v1%2fusers%2flogin/events/subscriptions/validation/condition/

4.畅捷通TPlus App_Code.ashx存在远程命令执行漏洞

/tplus/ajaxpro/Ufida.T.CodeBehind._PriorityLevel,App_Code.ashx?method=GetStoreWarehouseByStore

5.浙大恩特客户资源管理系统RegulatePriceAction.entsoft;.js接口存在SQL注入

/entsoft/RegulatePriceAction.entsoft;.js?method=getRegulatePricedlist

6.深澜计费管理系统 /demo/proxy接口处存在任意文件读取漏洞

/demo/proxy

7.泛微e-cology ProcessOverRequestByXml接口存在任意文件读取漏洞

/rest/ofs/ProcessOverRequestByXml

8.浙大恩特客户资源管理系统Ri0004_openFileByStream.jsp接口存在任意文件读取漏洞

/entsoft/module/i0004_openFileByStream.jsp

完整漏洞列表见下图