赛克安全本周漏洞推送(12.2-12.6)

发布于 作者:

赛克安全本周漏洞推送(12.2-12.6)

thelostworld 2024-12-07 12:07

免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!马赛克安全实验室情报申明(可点击查看)

0x01漏洞插件描述
本周赛克安全更新漏洞插件12个,其中发布知识星球5个插件

更新列表

*0x01漏洞描述
*1、科拓全智能停车收费系统-t-sellfrom-sql注入
插件更新时间: 2024-12-02 14:39:37

  • 漏洞级别: 高危

  • 漏洞描述:科拓全智能停车收费系统是一套先进的停车场管理系统,它集成了计算机、网络设备、车道管理设备等多种技术,旨在实现对停车场车辆出入、场内车流引导、以及停车费收取的智能化管理。科拓全智能停车收费系统/T_SellFrom.aspx处存在SQL注入漏洞,未授权的攻击者可以通过该漏洞获取系统数据库敏感信息。

  • 漏洞危害:恶意攻击者可以利用该漏洞执行恶意的注入语句,获取敏感数据或篡改数据库。

  • 产品指纹: 

body="/Sys/CommonJs/artDialog/skins/simple.css"
  • 2、紫光电子档案管理系统-uploadscan-sql注入

  • 插件更新时间:2024-12-03 09:27:21

  • 漏洞级别:高危

  • 漏洞描述:紫光电子档案管理系统是一款专业的电子档案管理软件,旨在帮助企业实现高效、便捷的档案管理。紫光电子档案管理系统的/uploadScan接口存在SQL注入漏洞,未经身份验证的攻击者可以通过该漏洞获取数据库敏感信息。

  • 漏洞危害:恶意攻击者可以利用该漏洞执行恶意的注入语句,获取敏感数据或篡改数据库。

  • 漏洞指纹: 

body="www.unissoft.com"
  • 3、资管云-leaseimaread-save-sql注入

  • 插件更新时间:2024-12-03 20:07:16

  • 漏洞级别:高危

  • 漏洞描述:资产管理运营系统/leaseImaRead.save.php存在SQL注入漏洞,攻击者可通过漏洞获取数据库信息。

  • 漏洞危害:恶意攻击者可以利用该漏洞执行恶意的注入语句,获取敏感数据或篡改数据库。

  • 漏洞指纹: 

body="media/image/favicon.ico" && body="/config/shulianyun_logo1.png"
  • 4、三汇SMG 网关管理软件-信息泄露

  • 插件更新时间:2024-12-04 09:57:58

  • 漏洞级别:低危

  • 漏洞描述:杭州三汇网关是一款高性能的网络网关设备,旨在提供稳定、安全的网络连接和管理。它支持多种网络协议和功能,包括防火墙、VPN、负载均衡和流量控制。通过智能化的流量分析和优化功能,三汇网关能够有效提升网络效率和安全性,适用于企业和数据中心等复杂网络环境。其用户友好的界面和高扩展性使得网络管理变得更加便捷和高效。其/SMGSuperAdmin.ini接口处存在敏感信息泄露。

  • 漏洞危害:未经授权的远程攻击者可以利用该漏洞,可获取登录账号密码

  • 漏洞指纹: 

body="text ml10 mr20" && body="网关管理软件"
  • 5、中成票务-returnticketplance-sql注入

  • 插件更新时间:2024-12-05 09:11:13

  • 漏洞级别:高危

  • 漏洞描述:中成科信票务 管理系统Q是专注于演出剧院、体育场馆、旅游景区、游乐园、场地活动的票务管理系统,并为特殊客户量身定制票务应用解决方案,可根据用户的要求采用不同的技术载体实现门票的防伪。中成科信票务管理系统/ReturnTicketPlance.ashx接囗处存在SQL注入漏洞,攻击者可通过漏洞获取数据库信息。

  • 漏洞危害:未经身份验证的恶意攻击者利用 SQL 注入漏洞获取数据库中的信息(例如管理员后台密码、站点用户个人信息)之外,攻击者甚至可以在高权限下向服务器写入命令,进一步获取服务器系统权限。

  • 漏洞指纹: 

 body="SystemManager/mainClone.html"

****0x03扫码加入星球查看详情

扫描加入星球不迷路