m0_46604997-优快云博客

原创用友U8 CRM 多个接口存在SQL注入漏洞

用友U8 CRM客户关系管理系统多个接口存在SQL注入漏洞，攻击者可以窃取用户的隐私信息、业务数据等，造成用户信息泄露，更严重的是数据库服务器控制有很大风险被攻击者控制等相关安全问题。

2024-09-27 17:55:41 1215

原创记一次简单的渗透测试

总体来说该小程序设计的比较简单，并没有很多功能点，大部分都是查看数据的，安全防护也比较薄弱，但是发现的漏洞也比较少，还是需要继续学习，提升自己的技术。虽然是有一个sql注入，但也只是停留在跑数据，并没有getshell；其他数据查看功能点也试了，经过测试基本都有字符长度限制，所也就没有进展了。都是些简单的渗透测试，麻烦各位大佬莫喷，还请各位大佬多多指教。

2024-09-12 11:38:32 958

原创泛微WorkPlanService接口存在SQL注入

泛微e-cology依托全新的设计理念,全新的管理思想，为中大型组织创建全新的高效协同办公环境。标准化产品+个性化开发，适合集团型组织OA软件。

2024-08-28 17:32:14 379

原创泛微云桥（e-Bridge）addResume接口存在文件上传漏洞

泛微云桥（e-Bridge）是上海泛微公司在”互联网+”的背景下研发的一款用于桥接互联网开放资源与企业信息化系统的系统集成中间件。截止自本手册编制之日e-Bridge已实现了腾讯微信及阿里钉钉开放接口的封装，企业可以通过e-Bridge快速实现基于微信及钉钉的移动办公应用接入。对于泛微协同办公产品e-cology更是实现了可视化的配置接入。后续e-bridge将整合更多的互联网信息化资源，让企业能够更加便利的利用开放的互联网资源进行企业信息化建设。

2024-08-28 16:48:40 875

原创天问智慧物业ERP多处接口存在任意文件读取漏洞

成都天问互联科技有限公司以软件开发和技术服务为基础，建立物业ERP应用系统，向物管公司提供旨在降低成本、保障品质、提升效能为目标的智慧物管整体解决方案，实现物管公司的管理升级；以平台搭建和资源整合为基础，建立社区O2O服务平台，向物管公司提供旨在完善服务、方便业主、增加收益为目标的智慧小区综合服务平台，实现物业公司的服务转型。

2024-07-30 16:01:33 618

原创通天星CMSV6车载定位监控平台sql注入漏洞复现

通天星CMSV6车载定位监控平台包括了WIFI自动下载、TTS语音信息下发、校车刷卡、油量统计、3G/4G视频监控、GPS位置定位、远程录像回放、轨迹查询等一体的综合性平台。

2024-07-30 12:44:42 679

原创禅道项目管理系统身份认证绕过漏洞(QVD-2024-15263)

1.1、基本信息禅道是一款支持敏捷、瀑布、看板等多种项目模型的开源项目管理软件，可完整覆盖研发项目的需求、任务、缺陷、用例、质量、组织知识库等流程。禅道提供多个版本，包括免费的开源版、付费的企业版、旗舰版、IPD版和云禅道，以及DevOps平台版，满足不同行业和规模的项目管理需求。1.2、问题描述禅道系统存在身份认证绕过，在处理某些API时未能有效检查用户身份，允许未认证的用户执行某些操作，从而绕过鉴权机制。

2024-06-05 17:03:13 939 1

原创金和OA_XmlDeal接口存在XXE漏洞

金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务.二、漏洞描述金和OA C6系统XmlDeal接口存在XXE漏洞，应用程序在解析XML数据时，没有正确验证或限制实体引用，攻击者就可以通过构造恶意的XML输入，将外部实体引用进来，从而执行恶意操作。

2024-05-17 10:40:08 391

原创中成科信票务管理平台Introduction接口存在文件上传漏洞

中成科信是一家智慧旅游服务商，通过大数据、云计算、人工智能、移动互联网等新技术，在智慧旅游涉及的众多领域，针对游客的旅游生活、旅游服务企业的经营发展、政府行使职能过程中的相关需求，进行了智慧的感知、互联、处理和协调，将旅游构建成为一个“科技+人文”的智慧生态系统。

2024-05-10 14:27:55 625 2

原创用友-UFIDA-NC_saveDoc接口存在文件上传漏洞

UFIDA NC是一款基于B/S架构的ERP软件是面向大型企业集团的集团管理解决方案,它支持多语言、多币种、多国家的应用,覆盖了财务会计、人力资源、供应链、生产制造、销售物流等企业核心业务领域，还提供了自动化工作流程、数据采集、移动应用、BI报表、分析等功能,帮助企业迅速建立业务管理、信息共享和某协办公的平台。用友-UFIDA-NC saveDoc.ajax 存在任意文件上传漏洞，攻击者可通过此漏洞上传恶意脚本文件，对服务器的正常运行造成安全威胁！

2024-04-25 22:47:32 778 5

原创科荣AIO多个接口存在任意文件读取漏洞

科荣AIO企业一体化管理解决方案,通过ERP(进销存财务)、OA(办公自动化)、CRM(客户关系管理)、UDP(自定义平台)，集电子商务平台、支付平台、ERP平台、微信平台、移动APP等解决了众多企业客户在管理过程中跨部门、多功能、需求多变等通用及个性化的问题。科荣AIO管理系统多个接口存在文件读取漏洞，该漏洞可能导致泄露配置信息、用户数据等敏感信息，为确保系统安全，建议尽快修复漏洞，并且设置有效的输入验证和访问控制机制。Fofa语法：body="changeAccount('8000')"

2024-04-25 22:25:55 379 4

原创用友U8-cloud多个接口存在SQL注入

U8 cloud是用友推出的新一代云ERP，主要聚焦成长型、创新型企业，提供企业级云ERP整体解决方案，全面支持多组织业务协同、营销创新、智能财务、人力服务，构建产业链制造平台，融合用友云服务，实现企业互联网资源连接、共享、协同，赋能中国成长型企业高速发展、云化创新。U8 cloud 多个接口处存在SQL注入漏洞。攻击者可以窃取用户的隐私信息、业务数据等，造成用户信息泄露等网络安全相关问题，更严重的是数据库服务器控制有很大风险被攻击者控制。

2024-04-06 14:38:48 918 1

原创用友U8-cloud_base64接口存在漏洞

U8 cloud是用友推出的新一代云ERP，主要聚焦成长型、创新型企业，提供企业级云ERP整体解决方案，全面支持多组织业务协同、营销创新、智能财务、人力服务，构建产业链制造平台，融合用友云服务，实现企业互联网资源连接、共享、协同，赋能中国成长型企业高速发展、云化创新。U8 cloud base64 接口处存在SQL注入漏洞。攻击者可以窃取用户的隐私信息、业务数据等，造成用户信息泄露，更严重的是数据库服务器控制有很大风险被攻击者控制等相关安全问题。

2024-04-03 16:45:39 639 1

原创快普M6SalaryAccounting接口存在SQL注入

快普M6pro产品主要解决这些行业的集成管理、销售管理、运维管理、租赁管理、协同办公管理和供应链财务管理等管理需求，建立可持续发展的经营管理模式，彻底消除信息孤岛和管理死角。快普M6 的 /WebService/HR/Salary/SalaryAccounting.asmx 接口处存在SQL注入漏洞，攻击者可以窃取用户的隐私信息、业务数据等，造成用户信息泄露、企业品牌受损、法律风险等相关安全问题。

2024-04-02 09:55:16 825 1

原创 Nessus激活home版和插件包获取

以windows为例子，以下过程是在安装了Nessus之后的操作打开链接 http://www.tenable.com/products/nessus-home，填写相关信息，填写完成后勾选上，点击get started。打开链接https://plugins.nessus.org/v2/offline.php；分别输入第一步收集的Challenge code和第三步收集的activation code，输入完成后点击submit。两个码只能用一次，且绑定设备下载all-2.0.tar.gz和nes

2023-08-31 17:35:46 1120 1

m0_46604997的博客