赛克安全本周漏洞推送(12.9-12.13)涉及孚盟云、用友时空、蓝凌OA、月子会所、时空VMS等产品相关漏洞

发布于 作者:

赛克安全本周漏洞推送(12.9-12.13)涉及孚盟云、用友时空、蓝凌OA、月子会所、时空VMS等产品相关漏洞

thelostworld 2024-12-14 00:00

免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!马赛克安全实验室情报申明(可点击查看)

0x01漏洞插件描述
本周赛克安全更新漏洞插件7个,涉及孚盟云、用友时空、蓝凌OA、月子会所、时空VMS等产品相关漏洞

*0x01漏洞描述
*1、孚盟云-mailajax-sql注入
插件更新时间: 2024-12-10 21:34:31

  • 漏洞级别: 高危

  • 漏洞描述:孚盟与阿里强强联手将最受青睐的经典C系列产品打造成全新的孚盟云产品,让用户可以用云模式实现信息化管理,让用户的异地办公更加流畅,大大降低中小企业在信息化上成本,用最小的投入享受大型企业级别的信息化服务,使中小企业在网络硬件环境、内部贸易过程管理与快速通关形成一套完整解决方案。孚盟云 /MailAjax.ashx文件存在SQL注入漏洞,攻击者通过漏洞可获取服务器权限。

  • 漏洞危害:恶意攻击者可以利用该漏洞执行恶意的注入语句,获取敏感数据或篡改数据库。

  • 产品指纹: 

body="/Ajax/AjaxMethod.ashx"

2、用友时空KSOA-com-sksoft-bill-sql注入
插件更新时间:2024-12-10 21:56:07

  • 漏洞级别:高危

  • 漏洞描述:用友时空KSOA是建立在SOA理念指导下研发的新一代产品,是根据流通企业最前沿的I需求推出的统一的IT基础架构,它可以让流通企业各个时期建立的IT系统之间彼此轻松对话,帮助流通企业保护原有的IT投资,简化IT管理,提升竞争能力,确保企业整体的战略目标以及创新活动的实现。该平台/com.sksoft.bill.WebBill接口处存在SQL注入漏洞,会导致数据泄露。

  • 漏洞危害:恶意攻击者可以利用该漏洞执行恶意的注入语句,获取敏感数据或篡改数据库。

  • 漏洞指纹: 

body="images_index/mainlogo.jpg"

3、蓝凌OA-webservice-文件读取
插件更新时间:2024-12-10 22:16:00

  • 漏洞级别:高危

  • 漏洞描述:深圳市蓝凌软件股份有限公司是国内知名的大平台OA服务商和国内领先的知识管理解决方案提供商,是专业从事组织的知识化咨询、软件研发、实施、技术服务的国家级高新技术企业。该产品/thirdImSyncForKKWebService接口处存在任意文件读取漏洞,攻击者可获取敏感信息。

  • 漏洞危害:任意文件读取漏洞可以为其他攻击提供关键信息。例如,攻击者可以读取服务器上的日志文件,这些日志文件记录了系统的访问情况、错误信息等。通过分析日志,攻击者可以了解系统的安全防护机制、其他用户的访问模式,甚至可以发现系统中存在的其他未被发现的漏洞。

  • 漏洞指纹: 

body="Com_Parameter"

4、月子会所-ERP-attachedhandler-任意文件上传
插件更新时间:2024-12-12 17:03:59

  • 漏洞级别:高危

  • 漏洞描述:月子会ERP管理云平台是由武汉金同方科技有限公司研发团队结合行业月子中心相关企业需求开发的一套综合性管理软件。月子会ERP管理云平台的/AttachedHandler.ashx接口存在任意文件上传漏洞,由于未对上传文件进行任何过滤,攻击者可利用该漏洞上传恶意文件,进而获取服务器控制权。

  • 漏洞危害:一旦恶意文件上传并成功执行,攻击者可以在服务器上执行任意命令。例如,攻击者可以通过上传一个包含恶意代码的文件,获取服务器的操作系统权限。

  • 漏洞指纹: 

body="妈妈宝盒"

5、 时空WMS-仓储精细化管理系统-imageadd-任意文件上传 
插件更新时间:2024-12-12 17:20:03

  • 漏洞级别:高危

  • 漏洞描述:时空WMS-仓储精细化,管理系统Q是一款高效、智能的仓储管理工具,旨在帮助企业实现仓库的精细化管理和高效运营。由郑州时空软件开发,专注于以数字化、智能化推动企业进步。该系统基于先进的仓储管理理念和技术架构,融合了物联网、移动互联等前沿技术,实现了对仓库内物资的全面、精准、高效管理、系统话用千各类仓储物流企业,包括电商仓储、第一方物流、生产仓储等多个领域。通过使用该系统,企业可以实现对仓库内物资的全面掌控和高效管理,提高库存周转率,降低库存成本,提升企业竞争优势。/ImageAdd.ashx接口存在文件上传漏洞,未经身份验证的攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web服务器。

  • 漏洞危害:一旦恶意文件上传并成功执行,攻击者可以在服务器上执行任意命令。例如,攻击者可以通过上传一个包含恶意代码的文件,获取服务器的操作系统权限。

  • 漏洞指纹: 

body="SKControlKLForJson.ashx"

0x03扫码加入星球查看详情

扫描加入星球不迷路