2021HVV

确认漏洞

漏洞编号:B-T-V-0001

漏洞名称:帆软v8-v9 getshell

涉及厂商:帆软

可信度:100%

发布日期:2021.4.8

漏洞等级:高危

影响版本:帆软v8.0-v9.0

发现时间:2020.11.3

是否公开:是

信息来源:互联网

关键判断点:/webroot/reportserver

厂商状态说明:厂商于补天平台确认并修复漏洞

漏洞编号:B-T-V-0002

漏洞名称:jellyfin任意文件读取

涉及厂商:jellyfin

可信度:100%

发布日期:2021.3.23

漏洞等级:高危

影响版本:jellyfin<=10.7.0

发现时间:2021.4.8

是否公开:是

信息来源:互联网

关键判断点:/Audio/anything/hls/..%5Cdata%5Cjellyfin.db/stream.mp3/

厂商状态说明:未说明

漏洞编号:B-T-V-0005

漏洞名称:帆软报表系统v9 getshell

涉及厂商:帆软

漏洞等级:高危漏洞

关注点:/webroot/reportserver

可信度:90%

是否公开:是

是否有POC:是

首次发现时间:2021.4.8

情报来源:互联网

漏洞编号:B-T-V-0012

漏洞名称:和信创天云桌面系统命令执行,文件上传 全版本 前台 默认配置

涉及厂商:北京和信创天科技有限公司

可信度:80%

发布日期:2021.4.8

漏洞等级:高危

影响版本:暂无版本信息

发现时间:2021.4.8

是否公开:是

信息来源:互联网关

键判断点:/Upload/upload_file.php

厂商状态说明:未说明

漏洞编号:B-T-V-0032

漏洞名称:泛微OA9 前台无限制Getshell

涉及厂商:泛微

漏洞等级:高危漏洞

关注点:/page/exportImport/uploadOperation.jsp

可信度:90%

是否公开:是

是否有POC:有

首次发现时间:2021.4.8

情报来源:互联网

漏洞编号:B-T-V-0033

漏洞名称:泛微OA8 前台SQL注入

涉及厂商:泛微漏洞

等级:高危漏洞

关注点:/js/hrm/getdata.jsp?cmd=getSelectAllId&sql=

可信度:90%

是否公开:是

是否有POC:有

首次发现时间:2021.4.8

情报来源:互联网防护建议:更新天眼规则升级包到最新版本3.0.0408.12735可检测

持续监测漏洞

漏洞编号:B-T-V-0008

漏洞名称:DzzOffice 远程代码执行漏洞

漏洞等级:高危

可信度:10%

是否公开:否

是否有POC:无

首次发现时间:2021.4.8

报来源:互联网

漏洞编号:B-T-V-0010

漏洞名称: jeecms前台无条件RCE

涉及厂商:jeecms

漏洞等级:高危

可信度:80%

是否公开:否

是否有POC:无

首次发现时间:2021.4.8

情报来源:互联网

漏洞编号:B-T-V-0011

漏洞名称:金蝶k3Coud命令执行

涉及厂商:金蝶漏洞

等级:高危可信度:10%

是否公开:否

是否有POC:无

首次发现时间:2021.4.8

情报来源:互联网

漏洞编号:B-T-V-0013

漏洞名称:用友U8cloud命令执行

涉及厂商:用友

漏洞等级:高危

可信度:10%

是否公开:否

是否有POC:无

首次发现时间:2021.4.8

情报来源:互联网

漏洞编号:B-T-V-0014

漏洞名称:h3c云计算管理平台任意账户添加

涉及厂商:华三

漏洞等级:高危

可信度:10%

是否公开:否

是否有POC:无

首次发现时间:2021.4.8

情报来源:互联网

漏洞编号:B-T-V-0015

漏洞名称:红帆OA任意文件写入

涉及厂商:红帆漏洞

等级:高危

可信度:10%

是否公开:否

是否有POC:无

首次发现时间:2021.4.8

情报来源:互联网

漏洞编号:B-T-V-0016

漏洞名称:深信服vpn 2021年4月版本无添加rce

涉及厂商:深信服

漏洞等级:高危

可信度:10%

是否公开:否

是否有POC:无

漏洞编号:B-T-V-0018

漏洞名称:致远oa任意文件上传

涉及厂商:致远

漏洞等级:高危

可信度:10%

是否公开:否

是否有POC:无

首次发现时间:2021.4.8

情报来源:互联网

漏洞编号:B-T-V-0019

漏洞名称:h3c交换机任意用户登录

涉及厂商:新华三漏洞

等级:高危

可信度:10%

是否公开:否

是否有POC:无

首次发现时间:2021.4.8

情报来源:互联网

漏洞编号:B-T-V-0020

漏洞名称:WPS-0day-RCE

涉及厂商:WPS

漏洞等级:高危

可信度:10%

是否公开:否

是否有POC:否

首次发现时间:2021.4.8

情报来源:互联网

漏洞编号:B-T-V-0021

漏洞名称:AVTECH 未授权信息泄露漏洞

涉及厂商:AVTECH

漏洞等级:高危可信度:10%

是否公开:否

是否有POC:无

首次发现时间:2021.4.8

情报来源:互联网

漏洞编号:B-T-V-0022

漏洞名称:深信服vpn某版本存在命令执行,任意加管理员

涉及厂商:深信服漏洞等级:高危

可信度:10%

是否公开: 否

是否有POC: 无

首次发现时间:2021.4.8

情报来源:互联网

漏洞编号:B-T-V-0023

漏洞名称:tomcat某版本存在反序列化命令执行

涉及厂商:tomcat

漏洞等级:高危

可信度:10%

是否公开:否

是否有POC:无情报

来源:互联网

漏洞编号:B-T-V-0024

漏洞名称:coremail某版本存在命令执行

涉及厂商:论客科技

漏洞等级:高危

可信度:10%

是否公开:否

是否有POC:无

情报来源:互联网

漏洞编号:B-T-V-0025

漏洞名称:齐治堡垒机某版本命令执行

涉及厂商:齐治

漏洞等级:高危

可信度:10%

是否公开:否

是否有POC:无情报

来源:互联网

漏洞编号:B-T-V-0026

漏洞名称:深信服EDR系统存在命令执行

涉及厂商:深信服

漏洞等级:高危

可信度:10%

是否公开: 否

是否有POC:无情报

来源:互联网

漏洞编号:B-T-V-0027

漏洞名称:用友NC某版本存在反序列化命令执行

涉及厂商:用友

漏洞等级:高危

可信度:10%

是否公开: 否

是否有POC:无

情报来源:互联网

漏洞编号:B-T-V-0028

漏洞名称:Dubbo某版本存在反序列化命令执行

涉及厂商:Apache

漏洞等级:高危

可信度:10%

是否公开: 否

是否有POC:无

情报来源:互联网

漏洞编号:B-T-V-0029

漏洞名称:weblogic某版本存在反序列化命令执行

涉及厂商:Oracle漏洞

等级:高危

可信度:10%

是否公开: 否

是否有POC:无情报

来源:互联网

漏洞编号:B-T-V-0030

漏洞名称:蓝凌OA任意写入漏洞

涉及厂商:蓝凌

漏洞等级:高危

漏洞关注点:/sys/search/sys_search_main/sysSearchMain.do?method=editParam&fdParemNames=11&FdParameters=[shellcode]

可信度:90%

是否公开:是

是否有POC:是

首次发现时间:2021.4.8

情报来源:互联网

漏洞编号:B-T-V-0031

漏洞名称:启明星辰天清汉马UsG防火墙存在逻辑缺陷漏洞

涉及厂商:启明星辰

漏洞等级:高危

可信度:10%

是否公开:否

是否有POC:无

情报来源:互联网

漏洞编号:B-T-V-0035

漏洞名称:Apache Solr任意文件读取漏洞

涉及厂商:Apache

漏洞等级:高危

可信度:10%

是否公开:否

是否有POC:否

首次发现时间:2021.4.8

情报来源:互联网

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注