1、2023某大型活动期间漏洞清单整理,以下信息均来源于网络,包含诸多新老漏洞。
2、整理此清单一方面希望帮助企业自查,如果存在相应漏洞尽快修复;另一方面帮助白帽子拓展漏洞库,方便后续做渗透测试使用。
3、如有侵权,联系删除。
4、信息不一定真实,存在误报的可能,请自行判断。
代码语言:javascript复制1Panelloadfile后台文件读取漏洞
360新天擎终端安全管理系统信息泄露漏洞
Adobe ColdFusion反序列化漏洞复现(CVE-2023-29300)
ArrisVAP2500list_mac_address远程命令执行漏洞
ArrisVAP2500无线接入设备RCE
Cacti未授权远程命令执行漏洞
Cisco任意文件上传(CVE-2023-20073)
coding平台idna目录存在目录遍历漏洞
ContecSolarViewCompact安全漏洞(CVE-2023-23333)
Coremail信息泄露
coremail未授权远程代码执行漏洞
Coremail邮件系统未授权访问获取管理员账密
DraytekVigor2960网关文件读取漏洞
DzzOffice RCE
e-mobile远程命令执行
Eramba任意代码执行漏洞
ExchangeServer远程代码执行漏洞(CVE-2023-38182)
GeoServerowsSQL注入漏洞(CVE-2023-25157)
GitLab目录遍历漏洞(CVE-2023-2825)
Grafana RCE通过SMTP服务器参数注入漏洞
H3CERNERG2NGR系列存在任意用户登录和命令执行漏洞
H3C多系列路由器存在前台RCE漏洞
HiKVISION综合安防管理平台files任意文件上传漏洞
HiKVISION综合安防管理平台report任意文件上传漏洞
HIKVISION视频编码设备接入网关showFile
HytecInterHWL-2511-SSpopencgi命令注入漏洞
IP-COM远程命令执行漏洞
Jeecg-boot JDBC RCE
Jeecg-BootFreemarker模版注入漏洞
Jeewx文件上传
Jxstar-Cloud软件开发平台任意文件上传漏洞
KubeOperator默认密码导致控制Kubernets集群&&未授权访问集群凭证
KubePiJwtSigKey登陆绕过漏洞(CVE-2023-22463)
Kuboard默认口令(admin Kuboard123)
LiveBosScriptVariable命令执行漏洞
livebos前台任意代码执行漏洞
Metabase未授权JDBC远程代码执行漏洞(CVE-2023-38646)
MilesightVPN任意文件读取漏洞
Nacos-Sync未授权访问漏洞
Net-NTLMv2窃取漏洞(CVE-2023-23397)
NetgearDR系列路由命令执行漏洞(CVE-2023-33532/33533)
nginx配置错误导致的路径穿越风险
OfficeWeb365 SSRF&文件上传漏洞
OfficeWeb365 远程代码执行漏洞
Office远程代码执行漏洞
onenav开源书签管理程序默认密码
Openfire身份认证绕过漏洞(CVE-2023-32315)
PanabitiXCache网关RCE漏洞CVE-2023-38646
Panelloadfile后台文件读取漏洞
PigCMSaction_flashUpload任意文件上传漏洞
QAX-Vpn存在x遍历及任意账号密码修改漏洞
QQ&TIM本地提权(CVE-2023-34312)
QQ远程代码执行漏洞
RCEexploitforCVE-2023-3519
richmailthinkmail任意用户登录
Smartbi登录绕过RCE
Smartbi默认用户登陆绕过漏洞
Smartbi超融合远程命令执行漏洞
StakaterForecastle存在路径遍历漏洞(CVE-2023-40297)
supershellJWT硬编码凭证漏洞
supershell权限绕过漏洞
TendaG103命令注入漏洞(CVE-2023-27076)
tenda路由器信息泄露漏洞
TerraMaster未授权远程命令执行漏洞
TP-LinkArcherAX4(AX20230219)(CVE-2023-1389)
TP-LINKTL-WR940N命令执行漏洞(CVE-2023-33538)
Unraid未授权RCE
VMwareAriaOperationsforNetworks
WavlinkRCE
WebeditionCMSv2
weblogic远程加载类RCE漏洞
WEBMAIL存在任意用户登录漏洞
WordPresspluginWooCommercePayments安全漏洞
xxl-rpc远程命令执行漏洞
Ymnetsnet框架Upload任意文件上传
ZKTecoBioTime存在密码重置漏洞(CVE-2023-38949)
万户ezOFFICE协同办公平台wpsservlet接口文件上传漏洞
万户协同办公平台存在未授权访问漏洞
万户协同办公平台接口存在文件上传漏洞
万户网络-ezOffice文件读取漏洞
上海安达通TPN-2G安全网关命令执行漏洞
东方通TongWeb多个历史漏洞
东方通tongweb应用服务器未授权远程代码执行漏洞
中远麒麟堡垒机adminphpSQL注入
中远麒麟堡垒机tokensSQL注入
亿赛通DLP任意文件上传漏洞
亿赛通任意文件写入0day
亿赛通任意文件读取
亿赛通文件下载
亿赛通电子文档安全管理系统UploadFileFromClientServiceForClient文件上传漏洞
亿赛通电子文档安全管理系统文件上传漏洞
亿赛通电子文档安全管理系统远程命令执行漏洞
任我行CRMSmsDataListSQL注入漏洞
企业微信(私有化版本)敏感信息泄露漏洞
企望制造ERPcomboxstoreaction远程命令执行漏洞
傲盾信息安全管理系统前台远程命令执行漏洞
冰蝎客户端RCE与任意文件读取漏洞
华夏ERP系统信息泄露登录后台
华天动力OA SQL注入漏洞
华天动力OA TemplateService任意文件读取漏洞
华测监测预警系统任意文件读取漏洞
华测监测预警系统数据库泄露漏洞
博华网龙安全设备RCE
启明天玥SQL注入2(已复现重复)
启明天钥安全网关前台sql注入
启明星辰-4A统一安全管控平台getMater信息泄漏
大华智慧园区任意密码读取漏洞
大华智慧园区综合管理平台deleteFtp接口远程命令执行漏洞
大华智慧园区综合管理平台getFaceCaptureSQL注入漏洞
大华智慧园区综合管理平台ipmsbarpaypay远程代码执行漏洞
大华智慧园区综合管理平台searchJsonSQL注入漏洞
大华智慧园区综合管理平台user_getUserInfoByUserNameaction任意密码读取漏洞
大华智慧园区综合管理平台video任意文件上传漏洞
大华智慧园区综合管理平台文件上传漏洞
大华车载监控平台任意密码重置
大华车载监控平台任意文件上传
大华车载系统任意文件上传漏洞
天玥运维安全网关弱口令SQL注入后台RCE
天融信运维安全审计系统远程命令执行漏洞
契约锁电子签约系统任意文件上传
契约锁电子签约系统命令执行漏洞
安恒明御安全网关aaa_local_web_preview文件上传漏洞
安恒明御安全网关aaa_portal_auth_local_submit远程命令执行漏洞
安恒明御安全网关rce
安恒明御安全网关sslvpn_RCE
安恒蜜罐root秘钥生成算法
宏景HCM codesettreeSQL注入漏洞
宏景HCM 文件上传漏洞
帆软报表channel接口存在远程命令执行漏洞
帆软报表V8get_geo_json任意文件读取漏洞
帆软报表系统漏洞威胁
广联达oa LinkworksGetIMDictionarySQL注入漏洞
广联达oa sql注入漏洞
广联达oa 后台文件上传漏洞
建文工程项目管理系统BusinessMangerSQL注入漏洞
恒生jrescloud系统前台任意文件上传
拓尔思maindo远程命令执行漏洞
拓尔思MAS任意文件上传漏洞
新天擎终端安全管理系统信息泄露漏洞
新开普智慧校园系统代码执行漏洞
时空智友ERP sqlResultSQL注入漏洞
时空智友ERP uploadStudioFile文件上传漏洞
时空智友企业流程化管控系统formserviceSQL注入漏洞
时空智友企业流程化管控系统login文件读取漏洞
时空智友企业流程化管控系统SQL注入漏洞
时空智友企业流程化管控系统文件上传漏洞
明御APT攻击预警平台存在未授权访问漏洞
明御SQL注入
明御运维审计与风险控制系统堡垒机任意用户注册
明御运维审计与风险控制系统安恒堡垒机SSRF任意用户添加
明源ERP存在SQL时间盲注漏洞
明源云ERPApiUpdateashx文件上传漏洞
明源云ERP任意文件上传漏洞
明源云ERP工作流组件远程代码执行漏洞
易宝OAExecuteSqlForSingleSQL注入漏洞
易思软件某系统任意文件上传漏洞
智慧园区综合管理平台SQL注入漏洞
智跃人力资源管理系统SQL注入漏洞
来客电商管理系统文件上传漏洞
极限oa任意文件下载
正元EOSdefaultjmxjmx反序列化
正元EOSdefaultremoteremote反序列化
正方RCE
正方命令执行
正方文件上传
汉塔科技上网行为管理系统RCE
汉得SRMtomcat
泛微9sql注入
泛微E-Cology8、9SQL注入漏洞
泛微E-Cology9未授权SQL注入漏洞(CNVD-2023-12632)
泛微E-Cology某版本SQL注入漏洞
泛微E-Moblle敏感信息泄露
泛微E-Office9文件上传漏洞CVE-2023-2648
泛微E-officefile-uploadphp任意文件上传漏洞
泛微E-officeflow_xmlSQL注入漏洞
泛微E-officesave_imagephp任意文件上传漏洞
泛微E-office文件包含漏洞
泛微oa代码执行
泛微OA办公系统XXE漏洞
泛微ShowDocsImageServletSQL注入
泛微sql注入漏洞2(已复现另一个注入点)
泛微WeaverE-Office9前台文件包含
浪潮交易平台0day
浪潮电子交易平台敏感信息泄露漏洞
海康威视综合安防平台HikvisioniSecure信息泄露&认证绕过
深信服SG上网优化管理系统catjs
深信服应用报表系统RCE
深信服数据中心管理系统sangforindexXML实体注入漏洞
深信服数据管理中心XXE
深信服服sxf-报表系统版本有限制
深信服终端安全管理系统EDR远程代码执行漏洞
猎鹰安全科技终端安全系统SQL注入漏洞XVE-2023-5913
瑞友天翼应用虚拟化系统SQL注入漏洞
瑞友天翼应用虚拟化系统远程执行漏洞
用友GRP-U8存在信息泄露
用友M1server反序列化命令执行漏洞
用友NCCloudjsinvoke任意文件上传漏洞
用友NC反序列化漏洞
用友NC存在JNDI注入漏洞
用友U9Cloud远程代码执行漏洞
用友文件服务器认证绕过
用友时空KSOAPayBillSQL注入漏洞
用友时空KSOAservletimagefield文件sKeyvalue参数SQL注入
用友时空KSOAsKeyvalueSQL注入漏洞
用友时空KSOATaskRequestServletsql注入漏洞
用友畅捷通CRMsql注入漏洞
用友畅捷通T CheckPasswordSQL注入漏洞
用友畅捷通T dll路由反序列化RCE漏洞
用友畅捷通T GetStoreWarehouseByStoreRCE漏洞
用友畅捷通T KeyInfoListSQL注入漏洞
用友畅捷通T SQL注入漏洞
用友移动应用平台弱口令 任意文件上传漏洞
用友移动管理系统uploadApk
百卓SmartS45F远程命令执行漏洞
百卓smarts85F注入漏洞 后台任意文件上传漏洞
禅道16.5routerclassphpSQL注入漏洞
私有化企业微信未授权获取secret漏洞
科荣AIO管理系统UtilServlet文件读取漏洞
红帆iOfficeOAioRepPicAddaspx文件上传漏洞
红帆OASQL注入2
红帆OAzyy_AttFileasmxSQL注入漏洞
红帆OA任意用户登录
红帆OA医院版存在未授权访问漏洞
红帆OA后台任意密码修改
红帆OA后台任意文件上传
红帆多处逻辑上传SQL漏洞
红海EHRPtFjkmob文件上传漏洞
绿盟NF下一代防火墙任意文件上传漏洞
绿盟SAS堡垒机Exec远程命令执行漏洞
绿盟SAS堡垒机GetFile任意文件读取漏洞
绿盟SAS堡垒机local_user
绿盟SAS安全审计系统任意文件读取
绿盟sas安全审计系统任意文件读取漏洞
绿盟SAS安全审计系统任意用户登录漏洞
绿盟SAS安全审计系统远程命令执行漏洞
网御ACM上网行为管理系统bottomframecgiSQL注入漏洞
网御ACM上网行为管理系统SQL注入漏洞
网神SecGate3600防火墙obj_app_upfile任意文件上传漏洞
网神SecSSL3600安全接入网关系统任意密码修改漏洞
网神SecSSL3600安全接入网关系统未授权访问漏洞
联想网盘存在任意文件上传漏洞
联软科技UniSDP安界软件定义边界系统远程命令执行漏洞
致远ajaxdofastjson反序列化
致远M3Server-xxxx反序列化漏洞
致远OAcacheDump后台groovyRCE
致远OACipSyncConfigMangerh2database后台rce
致远OAgetAjaxDataServlet接口前台XXE漏洞可RCE
致远OAM3反序列化漏洞
致远OAS1组件Agent数据库测试接口任意文件读SSRF RCE漏洞(前台 后台)
致远OAsaveExcel后台文件上传
致远OA任意文件上传漏洞
致远OA任意文件写入
致远OA任意文件读取漏洞
致远OA任意管理员登录
致远OA协同管理软件无需登录getshell
艾科思(霆智科技)任意文件读取漏洞
蓝凌eis80新版文件上传漏洞
蓝凌EKP15任意文件上传漏洞
蓝凌EKP系统存在未授权访问漏洞
蓝凌EKP远程代码执行漏洞
蓝凌OA RCE2(已复现另一个RCE点)
蓝凌OA wechatLoginHelperSQL注入漏洞
蓝凌OA 任意用户登录
蓝凌OA 文件上传漏洞
蓝凌OA 前台代码执行
赛思SuccezBI前台任意文件上传
辰信景云终端安全管理系统loginSQL注入漏洞
迈普MPSecMSG4000安全网关远程命令执行漏洞
远秋医学技能考试系统SQL注入
通达OA SQL注入(CVE-2023-4166)
通达OA 前台反序列化
通达zwsp-wps2文件上传
通达zwsp-wps文件上传
金和jc6存在任意文件上传漏洞
金和OAC6-GetSqlDataaspxSQL注入漏洞
金和OA未授权及sql注入
金山EDR代码执行漏洞
金山WPSRCE
金山终端安全系统V9任意文件上传漏洞
金盘图书馆微信管理后台getsysteminfo未授权访问漏洞
金蝶Apusic应用中间件代码命令执行漏洞
金蝶EAS系统存在目录遍历漏洞
金蝶K3ERP系统CusShareServiceSQL注入
金蝶云星空-管理中心任意文件读取
金蝶云星空CommonFileserver任意文件读取漏洞
金蝶云星空SQL注入漏洞
锐捷NBR路由器fileuploadphp任意文件上传漏洞
锐捷Ruijie路由器命令执行漏洞(CVE-2023-3450)
锐捷UAC统一上网行为管理审计系统toQuery远程命令执行漏洞
锐捷交换机WEB管理系统EXCU_SHELL信息泄露
锐捷数据库审计系统存在后台downloadTcpDumpFiles文件读取漏洞
青藤云EDR权限提升漏洞
飞企互联FE业务协作平台ShowImageServlet文件imagePath参数文件读取漏洞
飞企互联FE企业运营管理平台远程命令执行漏洞
POC地址:
https://github.com/ibaiw/2023Hvv
