创宇安全智脑 | DataEase 身份认证绕过(CVE-2025-49001)等81个漏洞可检测

发布于 作者:

创宇安全智脑 | DataEase 身份认证绕过(CVE-2025-49001)等81个漏洞可检测

原创 创宇安全智脑 创宇安全智脑 2025-06-12 09:02

创宇安全智脑
是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高精准高价值威胁情报、安全态势、攻防策略;持续全场景赋能知道创宇全产品矩阵和安全托管服务。

创宇安全智脑目前已经联动支撑知道创宇全产品矩阵,包括:创宇盾、抗D保、ScanV、ZoomEye、创宇蜜罐、创宇云图、创宇云影、创宇猎幽、创宇威胁情报网关等。

本周累计更新漏洞插件81个,其中重点插件10个

详情如下:

更新列表

创宇安全智脑 | DataEase 身份认证绕过(CVE-2025-49001)等81个漏洞可检测

漏洞详情

新增插件:

1、天问物业ERP UploadTemplate.aspx 任意文件上传

发布时间:
2025-06-10

漏洞等级:
高危

漏洞来源:
创宇安全智脑

漏洞描述:

天问物业云是一款由成都天问互联开发的物业集成管理平台。天问物业ERP UploadTemplate.aspx 接口存在任意文件上传漏洞。未经授权的远程攻击者可上传恶意文件至服务器,远程执行任意代码,获取系统权限。

漏洞危害:

未经授权的远程攻击者可上传恶意文件至服务器,远程执行任意代码,获取系统权限。

建议解决方案:

及时更新至最新版本,使用白名单进行验证,并将上传文件保存在非 Web 可访问的目录中。

影响范围:

根据ZoomEye网络空间搜索引擎关键字 app=”天问物业ERP” 对潜在可能目标进行搜索,共得到149条IP历史记录。主要分布在中国广东、北京等地。

(ZoomEye搜索链接:

https://www.zoomeye.org/searchResult?q=app%3D%22%E5%A4%A9%E9%97%AE%E7%89%A9%E4%B8%9AERP%22)

创宇安全智脑 | DataEase 身份认证绕过(CVE-2025-49001)等81个漏洞可检测

区域分布:

创宇安全智脑 | DataEase 身份认证绕过(CVE-2025-49001)等81个漏洞可检测

2、UniBox /authentication/logout.php 远程命令执行

发布时间:
2025-06-10

漏洞等级:
高危

漏洞来源:
创宇安全智脑

漏洞描述:

Unibox是一种用于管理任何大小的有线和无线网络的理想设备,它可以部署在咖啡馆/餐馆,酒店/度假村,医院,学校和大学,机场/公交车站,购物中心和私人企业,以管理和控制客人的网络连接。UniBox /authentication/logout.php 接口存在远程命令执行漏洞。恶意攻击者可以利用该漏洞远程执行任意命令,获取系统权限。

漏洞危害:

恶意攻击者可以利用该漏洞远程执行任意命令,获取系统权限。

建议解决方案:

及时更新至最新版本,确保使用时进行输入验证,以防止参数中存在恶意的命令执行语句。

影响范围:

根据ZoomEye网络空间搜索引擎关键字 app=”UniBox” 对潜在可能目标进行搜索,共得到3040条IP历史记录。主要分布在印度、澳大利亚等国家。

(ZoomEye搜索链接:

https://www.zoomeye.org/searchResult?q=app%3D%22UniBox%22)

创宇安全智脑 | DataEase 身份认证绕过(CVE-2025-49001)等81个漏洞可检测

区域分布:

创宇安全智脑 | DataEase 身份认证绕过(CVE-2025-49001)等81个漏洞可检测

3、扁鹊飞救区域协同急救与智能质控系统 GetLyfsByParams SQL注入

发布时间:
2025-06-05

漏洞等级:
高危

漏洞来源:
创宇安全智脑

漏洞描述:

扁鹊飞救区域协同急救与智能质控系统是一个集先进技术于一体的综合急救平台,旨在通过信息化手段实现院前院内急救无缝衔接,提升急救效率与质量。扁鹊飞救区域协同急救与智能质控系统 GetLyfsByParams 接口存在SQL注入漏洞。恶意攻击者可以利用该漏洞执行恶意的注入语句,获取敏感数据或篡改数据库。

漏洞危害:

恶意攻击者可以利用该漏洞执行恶意的注入语句,获取敏感数据或篡改数据库。

建议解决方案:

及时更新至最新版本,使用参数化查询或预编译语句并对输入进行过滤和验证,以防止SQL注入攻击。

影响范围:

根据ZoomEye网络空间搜索引擎关键字 app=”扁鹊飞救区域协同急救与智能质控系统” 对潜在可能目标进行搜索,共得到308条IP历史记录。主要分布在中国江苏、北京等地。

(ZoomEye搜索链接:

https://www.zoomeye.org/searchResult?q=app%3D%22%E6%89%81%E9%B9%8A%E9%A3%9E%E6%95%91%E5%8C%BA%E5%9F%9F%E5%8D%8F%E5%90%8C%E6%80%A5%E6%95%91%E4%B8%8E%E6%99%BA%E8%83%BD%E8%B4%A8%E6%8E%A7%E7%B3%BB%E7%BB%9F%22)

创宇安全智脑 | DataEase 身份认证绕过(CVE-2025-49001)等81个漏洞可检测

区域分布:

创宇安全智脑 | DataEase 身份认证绕过(CVE-2025-49001)等81个漏洞可检测

4、积木报表 getDataSourceByPage 信息泄露

发布时间:
2025-06-06

漏洞等级:
高危

漏洞来源:
创宇安全智脑

漏洞描述:

积木报表是一款专注于数据可视化和报表设计的开源工具。积木报表 getDataSourceByPage 接口存在信息泄露漏洞。未经授权的远程攻击者可以利用该漏洞,获取数据库账号密码等敏感信息。

漏洞危害:

未经授权的远程攻击者可以利用该漏洞,获取数据库账号密码等敏感信息。

建议解决方案:

及时更新至最新版本,实施严格的访问控制机制,确保只有授权的用户或角色能够访问和处理敏感数据。

影响范围:

根据ZoomEye网络空间搜索引擎关键字 app=”积木报表” 对潜在可能目标进行搜索,共得到1187条IP历史记录。主要分布在中国、美国等国家。

(ZoomEye搜索链接:

https://www.zoomeye.org/searchResult?q=app%3D%22%E7%A7%AF%E6%9C%A8%E6%8A%A5%E8%A1%A8%22)

创宇安全智脑 | DataEase 身份认证绕过(CVE-2025-49001)等81个漏洞可检测

区域分布:

创宇安全智脑 | DataEase 身份认证绕过(CVE-2025-49001)等81个漏洞可检测

5、
维达外贸客户关系管理系统 savetoserver.jsp 任意文件上传

发布时间:
2025-06-05

漏洞等级:
高危

漏洞来源:
创宇安全智脑

漏洞描述:

维达外贸客户关系管理系统是集成化客户信息管理平台,旨在帮助外贸企业高效管理客户档案、跟进记录和订单数据,提升转化率与业务增长。维达外贸客户关系管理系统 savetoserver.jsp 接口存在任意文件上传漏洞。未经授权的远程攻击者可上传恶意文件至服务器,远程执行任意代码,获取系统权限。

漏洞危害:

未经授权的远程攻击者可上传恶意文件至服务器,远程执行任意代码,获取系统权限。

建议解决方案:

及时更新至最新版本,使用白名单进行验证,并将上传文件保存在非 Web 可访问的目录中。

影响范围:

根据ZoomEye网络空间搜索引擎关键字 app=”维达外贸客户关系管理系统” 对潜在可能目标进行搜索,共得到307条IP历史记录。主要分布在中国浙江、上海等地。

(ZoomEye搜索链接:

https://www.zoomeye.org/searchResult?q=app%3D%22%E7%BB%B4%E8%BE%BE%E5%A4%96%E8%B4%B8%E5%AE%A2%E6%88%B7%E5%85%B3%E7%B3%BB%E7%AE%A1%E7%90%86%E7%B3%BB%E7%BB%9F%22)

创宇安全智脑 | DataEase 身份认证绕过(CVE-2025-49001)等81个漏洞可检测

区域分布:

创宇安全智脑 | DataEase 身份认证绕过(CVE-2025-49001)等81个漏洞可检测

6、天地伟业 Easy7 uploadCheckImg 任意文件上传

发布时间:
2025-06-06

漏洞等级:
高危

漏洞来源:
创宇安全智脑

漏洞描述:

天地伟业 Easy7 是天地伟业技术有限公司推出的一款综合安防监控管理平台,旨在为公安、交通、金融、教育、能源等领域提供智能化、集成化的视频监控与管理系统。天地伟业 Easy7 uploadCheckImg 接口存在任意文件上传漏洞。未经授权的远程攻击者可上传恶意文件至服务器,远程执行任意代码,获取系统权限。

漏洞危害:

未经授权的远程攻击者可上传恶意文件至服务器,远程执行任意代码,获取系统权限。

建议解决方案:

及时更新至最新版本,使用白名单进行验证,并将上传文件保存在非 Web 可访问的目录中。

影响范围:

根据ZoomEye网络空间搜索引擎关键字 app=”天地伟业 Easy7″ 对潜在可能目标进行搜索,共得到271条IP历史记录。主要分布在中国吉林、河南等地。

(ZoomEye搜索链接:

https://www.zoomeye.org/searchResult?q=app%3D%22%E5%A4%A9%E5%9C%B0%E4%BC%9F%E4%B8%9A%20Easy7%22)

创宇安全智脑 | DataEase 身份认证绕过(CVE-2025-49001)等81个漏洞可检测

区域分布:

创宇安全智脑 | DataEase 身份认证绕过(CVE-2025-49001)等81个漏洞可检测

7、汉王e脸通综合管理平台 uploadMeetingFile.do 任意文件上传

发布时间:
2025-06-05

漏洞等级:
高危

漏洞来源:
创宇安全智脑

漏洞描述:

汉王e脸通综合管理平台是汉王科技推出的一款基于生物识别技术的一站式智能管理平台,旨在通过融合多种智能硬件和AI技术,实现门禁、考勤、访客、会议、车辆等多种功能的智能化管理和场景应用。汉王e脸通综合管理平台 uploadMeetingFile.do 接口存在任意文件上传漏洞。未经授权的远程攻击者可上传恶意文件至服务器,远程执行任意代码,获取系统权限。

漏洞危害:

未经授权的远程攻击者可上传恶意文件至服务器,远程执行任意代码,获取系统权限。

建议解决方案:

及时更新至最新版本,使用白名单进行验证,并将上传文件保存在非 Web 可访问的目录中。

影响范围:

根据ZoomEye网络空间搜索引擎关键字 app=”汉王e脸通综合管理平台” 对潜在可能目标进行搜索,共得到291条IP历史记录。主要分布在中国、孟加拉等国家。

(ZoomEye搜索链接:

https://www.zoomeye.org/searchResult?q=app%3D%22%E6%B1%89%E7%8E%8Be%E8%84%B8%E9%80%9A%E7%BB%BC%E5%90%88%E7%AE%A1%E7%90%86%E5%B9%B3%E5%8F%B0%22)

创宇安全智脑 | DataEase 身份认证绕过(CVE-2025-49001)等81个漏洞可检测

区域分布:

创宇安全智脑 | DataEase 身份认证绕过(CVE-2025-49001)等81个漏洞可检测

8、金和 C6 协同管理平台 MailHttp.aspx XML 外部实体注入

发布时间:
2025-06-05

漏洞等级:
高危

漏洞来源:
创宇安全智脑

漏洞描述:

金和 OA 协同办公管理系统 C6 软件为用户提供一整套标准的办公自动化解决方案,以帮助企事业单位迅速建立便捷规范的办公环境。金和 C6 协同管理平台 MailHttp.aspx 接口存在XML外部实体注入漏洞。恶意攻击者可以利用该漏洞导致服务器端请求伪造(SSRF)和敏感信息泄露。

漏洞危害:

恶意攻击者可以利用该漏洞导致服务器端请求伪造(SSRF)和敏感信息泄露。

建议解决方案:

及时更新至最新版本,限制访问和过滤用户输入可帮助减少风险,建议在服务器配置中禁用外部实体解析以及合理设置应用程序或服务的权限,以防止XML外部实体注入漏洞。

影响范围:

根据ZoomEye网络空间搜索引擎关键字 app=”金和 C6 协同管理平台” 对潜在可能目标进行搜索,共得到652条IP历史记录。主要分布在中国北京、山东等地。

(ZoomEye搜索链接:

https://www.zoomeye.org/searchResult?q=app%3D%22%E9%87%91%E5%92%8C%20C6%20%E5%8D%8F%E5%90%8C%E7%AE%A1%E7%90%86%E5%B9%B3%E5%8F%B0%22)

创宇安全智脑 | DataEase 身份认证绕过(CVE-2025-49001)等81个漏洞可检测

区域分布:

创宇安全智脑 | DataEase 身份认证绕过(CVE-2025-49001)等81个漏洞可检测

9、DataEase 认证后 H2 远程代码执行(CVE-2025-49002)

发布时间:
2025-06-05

漏洞等级:
高危

漏洞来源:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-49002

漏洞描述:

DataEase 是开源的数据可视化分析工具。此漏洞是由于 CVE-2025-32966 漏洞补丁未正确过滤 JDBC 关键词,未考虑关键词存在不区分大小写的情况,导致绕过。攻击者可利用 H2 数据源远程执行任意代码,结合 CVE-2025-49001漏洞可实现未授权RCE,获取系统权限。

漏洞危害:

攻击者可利用 H2 数据源远程执行任意代码,结合 CVE-2025-49001漏洞可实现未授权RCE,获取系统权限。

建议解决方案:

厂商已发布新版本修复该漏洞,请及时更新到v2.10.10等最新安全版本。

影响范围:

根据ZoomEye网络空间搜索引擎关键字 app=”DataEase” 对潜在可能目标进行搜索,共得到3525条IP历史记录。主要分布在中国、美国等国家。

(ZoomEye搜索链接:

https://www.zoomeye.org/searchResult?q=app%3D%22DataEase%22)

创宇安全智脑 | DataEase 身份认证绕过(CVE-2025-49001)等81个漏洞可检测

区域分布:

创宇安全智脑 | DataEase 身份认证绕过(CVE-2025-49001)等81个漏洞可检测

10、DataEase 身份认证绕过(CVE-2025-49001)

发布时间:
2025-06-05

漏洞等级:
高危

漏洞来源:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-49001

漏洞描述:

DataEase 是开源的数据可视化分析工具。DataEase 2.10.8及之前版本由于JWT身份验证存在逻辑缺陷,在密钥验证失败的情况下,未正常终止代码导致身份验证绕过。攻击者可通过该漏洞绕过身份认证进行任意敏感操作。

漏洞危害:

攻击者可通过该漏洞绕过身份认证进行任意敏感操作。

建议解决方案:

厂商已发布新版本修复该漏洞,请及时更新到v2.10.10等最新安全版本。

影响范围:

根据ZoomEye网络空间搜索引擎关键字 app=”DataEase” 对潜在可能目标进行搜索,共得到3525条IP历史记录。主要分布在中国、美国等国家。

(ZoomEye搜索链接:

https://www.zoomeye.org/searchResult?q=app%3D%22DataEase%22)

创宇安全智脑 | DataEase 身份认证绕过(CVE-2025-49001)等81个漏洞可检测

区域分布:

创宇安全智脑 | DataEase 身份认证绕过(CVE-2025-49001)等81个漏洞可检测

ScanV

为网站及业务系统提供全生命周期的外部攻击面管理(EASM)能力,从攻击者视角出发,开展漏洞监测、漏洞响应、漏洞预警等深度漏洞治理工作,实时更新漏洞情报数据,持续性跟踪风险、快速定位威胁。

WebSOC

是面向行业区域监管机构、集团信息中心量身定制的能大范围快速发现高危Web漏洞及安全事件的硬件监测系统,产品具备扫描快、结果准、取证全的核心特质,能帮助客户快速、全面发现其管辖区域内的安全事件,生成完整通报证据链,方便通报到相关单位以促使其快速整改,帮助监管机构有效履行监管职责。

ZoomEye Pro

是面向企事业单位研发的一款网络资产扫描与管理系统。采用对全球测绘10余年的ZoomEye同款主动探测引擎,结合被动探测引擎,以及与ZoomEye云地联动的方式,能够全面采集内外网资产并统一管理。基于SeeBug漏洞平台、创宇安全智脑的能力,能够快速更新高威胁漏洞插件并对全部资产进行漏洞影响面分析。具备资产发现能力快速精准、资产指纹信息丰富、资产分类清晰直观、漏洞响应能力强的特点。帮助客户从攻击者视角持续发现内外网资产以及高风险问题,有效降低安全风险。

为帮助您快速感知威胁,激活防御体系,守护业务安全!

我们建议您订阅创宇安全智脑-威胁情报订阅服务
,获取更多威胁情报详情以及处置建议。

创宇安全智脑 | DataEase 身份认证绕过(CVE-2025-49001)等81个漏洞可检测

点击阅读原文获取更多信息