正文

【1022】重保演习每日情报汇总

admin
admin V管理员 /0 评论 /9 阅读
1022
文章最后更新时间2025年10月22日,若文章内容或图片失效,请留言反馈!

导语

红蓝对抗的第二阶段实战已经打响,烽火正式点燃!我们也正式迎来了第二次“考试”!

攻防演练期间本公众号会每日更新当天鲜活情报和热点漏洞,欢迎大家对我们进行收藏和关注!

【免责声明】

本文档提供的信息旨在帮助网络安全专业人员更好地理解和维护业务系统的安全性,严禁用于任何非法用途,任何未经授权使用或由此产生的后果和损失,均由使用者自行承担!

漏洞情报

网传漏洞情报

今日发现漏洞情报6

重保期间累计发现漏洞情报69

今日更新的漏洞情报如下:

已收录漏洞

今日DayDayPoc已收录漏洞4

重保期间累计收录漏洞49

今日DayDayPoc已收录漏洞列表:

参考链接:

www.ddpoc.com/news.html

我们会在www.ddpoc.com上持续更新每日漏洞,以下为今日漏洞详情:

1、某科技-PowerPMS Reg.ashx接口存在SQL注入漏洞

漏洞编号:DVB-2025-10274
影响厂商:上海某科技发展股份有限公司
影响产品:**PMS

影响版本:未知    

DayDayMap自查指纹:

body="Power.login.init"&&body="Power.ui.warning" && body="Power_login_btn"

参考链接:

https://www.ddpoc.com/DVB-2025-10274.html

临时修复建议:

1.使用参数化查询,避免拼接 SQL 字符串,防止恶意注入;

2.对用户输入进行严格校验和过滤,拒绝特殊字符和非法语句;
3.限制数据库账户权限,避免使用高权限连接,并开启日志审计监控异常行为。
2、某T+ Get*ID处存在远程命令执行漏洞

漏洞编号DVB-2025-9249     

影响厂商:某网络科技股份有限公司
影响产品:某T+
影响版本:未知
DayDayMap自查指纹:
body="location='/tplus/'"||title="畅捷通 T+"||body="/tplus/view/login.html"&&body="chanjet"

参考链接:

https://www.ddpoc.com/DVB-2025-9249.html

临时修复建议:

1.禁止拼接用户输入到系统命令中,使用安全 API 或参数化方式执行命令;

2.对用户输入进行严格校验,过滤特殊字符如 &, |, ; 等;
3.限制系统调用权限,避免高权限账户执行外部命令;
4.关闭不必要的命令执行接口,并记录审计日志以便追踪异常行为。
3、某C6 MailHttp 接口存在XXE漏洞

漏洞编号DVB-2025-9250     

影响厂商:北京某网络股份有限公司
影响产品:某C6
影响版本:未知
DayDayMap自查指纹:
title="金和协同管理平台" || body="js/PasswordCommon.js" || body="js/PasswordNew.js" || body="Jinher Network" || (body="c6/Jhsoft.Web.login" && body="CloseWindowNoAsk"|| header="Path=/jc6" || (body="JC6金和协同管理平台" && body="src="/jc6/platform/"|| body="window.location = "JHSoft.MobileApp/Default.htm";" || banner="Path=/jc6"||body="JHSoft.Web.AddMenu" || body="/jc6/platform/sys/login" || body="C6/Jhsoft.Web.login/PassWord.aspx" || body="/jc6/platform/finallogin/images/head-add.png"||body="Jhsoft.Web.login/PassWord.aspx"

参考链接:

https://www.ddpoc.com/DVB-2025-9250.html

临时修复建议:

1.禁用外部实体解析:关闭 XML 解析器中的 DTD 和实体功能;

2.使用安全解析器:采用防 XXE 的库或配置,如禁用 DOCTYPE 声明;
3.输入源校验:仅允许可信来源的 XML 数据进入系统;
4.最小权限执行:确保解析器运行在受限环境,防止文件系统访问。

4、某NC IServiceEntryPoint 存在XXE漏洞

漏洞编号:DVB-2025-9253    

影响厂商:某网络科技股份有限公司
影响产品:某NC
影响版本:未知

DayDayMap自查指纹:

body="logo/images/ufida.ico" || (body="UFIDA" && body="logo/images/"|| (body="logo/images/ufida_nc.png"|| body="<div id="nc_text">" || body="<div id="nc_img" onmouseover="overImage('nc');" || (title=="产品登录界面" && body="UFIDA NC"|| title="YONYOU NC" || body="/Uclient/UClient.dmg" || title="Yonyou UAP" || body="用友"&&body="UFIDA" || body="nc.ui.iufo.login.Index" || (body="nccsign.js" && body="yonyou-yyy.js"|| body="uclient.yonyou.com" ||body="/Client/Uclient/UClient" || header="nccloud" || body="/api/uclient/public/" || body="platform/pub/welcome.do" ||body="logo/images/ufida.ico" || title="产品登录界面" && body="logo/images/logo.png" || body="html/downloadBroswer.html" && body="platform/pub/welcome.do"

参考链接:

https://www.ddpoc.com/DVB-2025-9253.html

临时修复建议:

1.禁用外部实体解析:关闭 XML 解析器中的 DTD 和实体功能;
2.使用安全解析器:采用防 XXE 的库或配置,如禁用 DOCTYPE 声明;
3.输入源校验:仅允许可信来源的 XML 数据进入系统;
4.最小权限执行:确保解析器运行在受限环境,防止文件系统访问。

规则库补丁更新情况 

上述漏洞已在盛邦安全Web应用防护系统(RayWAF)、入侵检测防御系统(RayIDP)等产品中更新攻击防护规则,且在一体化漏洞评估系统(RayScan)、网络安全单兵侦测系统(RayBox)、网络空间资产探测系统(RaySpace)等产品中更新漏洞检测规则。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网