WuYSec的博客

GeoServer 是一个开源服务器，允许用户共享和编辑地理空间数据，依赖 GeoTools 库来处理地理空间数据。受影响的版本中 GeoTools 库的 API 在处理要素类型的属性名称时，会将这些属性名称不安全地传递给 commons-jxpath 库进行解析，由于 commons-jxpath 库在解析 XPath 表达式时可以执行任意代码，从而导致未经身份验证的用户能够利用特定的 OGC 请求参数远程执行代码。

海康威视iSecure-Center综合安防管理平台是一款“集成化”、“智能化”的平台，能够接入视频监控、一卡通、停车场、报警检测等系统设备。通过海康威视的集成化综合管理软件平台，可以对接入的视频监控点进行集中管理，实现统一部署、统一配置、统一管理和统一调度。海康威视iSecure-Center综合安防管理平台/orgManage/v1/orgs/download接口存在任意文件读取漏洞，可通过此漏洞读取任意文件。

海康威视iSecure Center综合安防管理平台是一套集成化、智能化的安防管理系统。海康威视iSecure Center综合安防管理平台存在远程命令执行漏洞，可造成远程命令执行。

蓝凌EIS智慧协同平台是一款为成长型企业提供高效协同办公和团队合作的产品。蓝凌EIS智慧协同平台存在SQL注入漏洞,攻击者可以利用这些漏洞获取数据库敏感信息。

ShowDoc是一个功能强大、易于使用、免费开源的文档管理系统。通过ShowDoc，可以方便地使用Markdown语法来书写出美观的API文档、数据字典文档、技术文档、在线Excel文档。攻击者通过SQL注入漏洞获取到token进入后台。进入后台后可结合反序列化漏洞，写入WebShell，从而获取服务器权限。

Apache OFBiz 18.12.14之前版本存在命令执行漏洞 ，该漏洞源于ControlFilter对路径限制不当导致用户能够访问ProgramExport导出功能执行Groovy代码。Apache OFBiz是美国阿帕奇（Apache）基金会的一套企业资源计划（ERP）系统。该系统提供了一整套基于Java的Web应用程序组件和工具。无垠Sec专注安全研究，包括但不限于代码审计、漏洞挖掘、思路分享等。目前仅需50，你就能得到常见系统1day漏洞POC、代码审计、漏洞分析、漏洞挖掘等。

NC系统/portal/pt/servlet/pagesServlet/doPost接口中的 pk_group参数缺存在sql注入漏洞，可能泄露服务器敏感信息。