# 漏洞收集 2023HW漏洞整理,收集整理漏洞EXp/POC,大部分漏洞来源网络,目前收集整理了100多个poc/exp,善用CTRL+F搜索 ## 2023.12.05 新增漏洞 - 速达软件全系产品存在任意文件上传漏洞 - 易思智能物流无人值守系统5.0存在任意文件上传漏洞 - RuoYi4.6.0 SQL注入漏洞CVE-2023-49371 ## 2023.12.03 新增漏洞 - 智跃人力资源管理系统GenerateEntityFromTable.aspx SQL漏洞 ## 2023.11.30 新增漏洞 - Apache-ActiveMQ-Jolokia-远程代码执行漏洞-CVE-2022-41678 - 红帆OA iorepsavexml.aspx 文件上传漏洞 ## 2023.11.29 新增漏洞 - 网神防火墙 app_av_import_save文件上传漏洞 - 大华智慧园区管理平台任意文件读取 - 通达OA down.php接口存在未授权访问漏洞 ## 2023.11.28 新增漏洞 - 新开普掌上校园服务管理平台service.action远程命令执行 - 易宝OA ExecuteSqlForSingle SQL注入漏洞 - 大华智慧园区综合管理平台 deleteFtp 远程命令执行漏洞 - 云匣子堡垒机fastjson漏洞 - 海康威视运行管理中心fastjson漏洞 - Array VPN任意文件读取漏洞 - 万户OA-upload任意文件上传漏洞 ## 2023.11.26 新增漏洞 - 用友NC word.docx任意文件读取漏洞 - 用友NC的download文件存在任意文件读取漏洞 - 泛微e-cology9_SQL注入-CNVD-2023-12632 - TOTOLINK A3700R命令执行漏洞CVE-2023-46574 - Splunk Enterprise 远程代码执行漏洞 (CVE-2023-46214) ## 2023.11.24 新增漏洞 - 华为Auth-Http Serve任意文件读取 - 昂捷ERP WebService接口 SQL注入漏洞(QVD-2023-45071) - 好视通视频会议系统 toDownload.do接口 任意文件读取漏洞 ## 2023.11.23 新增漏洞 - 大华智能物联ICC综合管理平台readpic任意文件读取漏洞 - Apache-Submarine-SQL注入漏洞CVE-2023-37924 - H3C网络管理系统任意文件读取漏洞 - 广州图创图书馆集群管理系统存在未授权访问 - I Doc View任意文件上传漏洞 - 致远OA M3 Server 反序列化漏洞 - pyLoad远程代码执行漏洞 ## 2023.11.20 新增漏洞 - 金蝶OA-EAS系统 uploadLogo.action 任意文件上传漏洞 - 浙大恩特客户资源管理系统 文件上传和sql注入漏洞 - 锐捷RG-UAC统一上网行为管理与审计系统管理员密码泄露 - Appium Desktop CVE-2023-2479漏洞 ## 2023.11.19 新增漏洞 - 用友U8-cloud RegisterServlet接口存在SQL注入漏洞 - SysAid远程命令执行漏洞(CVE-2023-47246) - CVE-2023-4357-Chrome-XXE漏洞 ## 2023.11.17 新增漏洞 - 金蝶OA云星空 ScpSupRegHandler 任意文件上传漏洞 ## 2023.11.16 新增漏洞 - 迪普DPTech VPN 任意文件读取 - 蓝凌OAsysUiComponent 文件存在任意文件上传漏洞 - 通达OA get_datas.php前台sql注入 ## 2023.11.09 新增漏洞 - IP-guard WebServer 远程命令执行漏洞 ## 2023.11.08 新增漏洞 - 奇安信360天擎getsimilarlistSQL注入漏洞 - 致远M1 usertokenservice 反序列化RCE漏洞 ## 2023.11.07 新增漏洞 - jshERP信息泄露漏洞 - 致远OA wpsAssistServlet任意文件读取漏洞 - 金和OA任意文件读取漏洞 ## 2023.11.03 - XXL-JOB默认accessToken身份绕过漏洞 - Confluence身份认证绕过(CVE-2023-22518) ## 2023.10.31 新增漏洞 - F5 BIG-IP 远程代码执行漏洞(CVE-2023-46747) - Cisco IOS XE CVE-2023-20198权限提升漏洞 ## 2023.10.30 新增漏洞 - JAVA Public CMS 后台RCE漏洞 ## 2023.10.26 新增漏洞 - Apache ActiveMQ远程命令执行漏洞 ## 2023.10.25 新增漏洞 - 用友U8-Cloud upload任意文件上传漏洞 - [安美数字酒店宽带运营系统SQL注入漏洞](安美数字酒店宽带运营系统SQL注入漏洞.md) - [泛微E-MobileServer远程命令执行漏洞](泛微E-MobileServer远程命令执行漏洞.md) - 蓝凌OA treexml.tmpl 远程命令执行漏洞 ## 2023.10.21 新增漏洞 - [海康威视综合安防管理平台信息泄露](海康威视综合安防管理平台信息泄露.md) ## 2023.10.20 新增漏洞 - [蓝凌EIS智慧协同平台saveImg接口存在任意文件上传漏洞](蓝凌EIS智慧协同平台saveImg接口存在任意文件上传漏洞.md) - 用友NC-Cloud uploadChunk 任意文件上传漏洞 - 深信服下一代防火墙NGAF RCE漏洞 - 金蝶EAS myUploadFile任意文件上传 - 用友 GRP U8 license_check.jsp 存在SQL注入 ## 2023.10.18 新增漏洞 - 360天擎 - 未授权与sql注入 - 深信服SANGFOR终端检测响应平台 - 任意用户免密登录,前台RCE - 深信服下一代防火墙NGAF任意文件读取漏洞 - Confluence 未授权提权访问漏洞 - 泛微e-office 未授权访问 - 金山终端安全系统V9.0 SQL注入漏洞 ## 2023.9.26 新增漏洞 - JumpServer未授权访问漏洞 CVE-2023-42442 - Craft CMS远程代码执行漏洞 CVE-2023-41892 - WinRAR CVE-2023-38831 漏洞 - 用友 GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞 ## 2023.9.22 新增漏洞 - Joomla 未授权漏洞CVE-2023-23752 ## 2023.9.19 新增漏洞 - smanga存在未授权远程代码执行漏洞 CVE-2023-36076 - JFinalCMS 任意文件读取漏洞(CVE-2023-41599) ## 2023.9.14 新增漏洞 - 致远OA前台用户重置密码漏洞 - Apache Spark命令执行漏洞(CVE-2023-32007) ## 免责声明 由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。所涉及工具来自网络,安全性自测。 [![](https://starchart.cc/wy876/POC.svg)](https://starchart.cc/wy876/POC)