【漏洞汇总】2024.4.15-4.21 1/N Day漏洞汇总【第二十二期】

经团队多次沟通一致决定在合法合规的前提下，每周发布部分收录的通用组件1、N Day来进行公众号及团队宣传。

       自2019年至今，团队内部漏洞库数量已达4000+。

自动化漏洞实时收录1、Nday的来源不仅限于博客、各大安全平台、微信、Github、小蓝鸟等。漏洞库中近百0day，则由十余名头部厂商实验室、红队成员资源共享而来。

愿关注猫蛋儿的你，每周都能最高效率地吸收最新漏洞。祝你"学有所成,不负韶华"，每次项目都能通过学到的漏洞完成项目，卷过别人保住自己不被裁员！

2024年4月15日-4月21日部分漏洞简要信息如下，后台回复“漏洞汇总”获取完整POC数据包。

1.魔方网表mailupdate.jsp接口存在任意文件上传漏洞

/magicflu/html/mail/mailupdate.jsp

2.用友 NC grouptemplet 文件上传漏洞

/uapim/upload/grouptemplet

3.润乾报表平台 InputServlet接口处存在任意文件上传漏洞

/InputServlet?action=12

4. jeevms 仓库管理系统 fileread文件读取

/systemController/showOrDownByurl.do

5.MajorDoMo thumb.php 未授权RCE(CNVD-2024-02175)

/modules/thumb/thumb.php

6.通天星CMSV6车载视频监控平台Logger接口任意文件读取漏洞

/808gps/logger/downloadLogger.action

7.泛微e-office系统ajax.php接口存在任意文件上传

/E-mobile/App/Ajax/ajax.php?action=mobile_upload_save

8.飞企互联 OA publicData sql注入

/oaerp/ui/common/publicData.js%70

9.SpringBlade dict-biz/list接口存在SQL注入

 /api/blade-system/dict-biz/list

10.IP-guard getdatarecord 存在任意文件读取

/ipg/appr/MApplyList/downloadFile_client/getdatarecord

完整漏洞列表见下图