7月21日攻防演练外部威胁情报信息汇总.pdfVIP

今日攻防演练外部威胁情报信息汇总（7月21日）

一、漏洞情报

漏洞名称

已有poc的漏洞

(已有POC)方正畅享全媒体新闻采编系统权限绕过漏洞

利用路径/newsedit/api/stub/getRemotePapers.do

(已有POC)用友U8Cloud系统存在SQL注入漏洞

利用路径/service/~iufo/com.ufida.web.action.ActionServlet

(已有POC)东胜物流软件任意文件读取漏洞

利用路径/Reports/FileExport.aspx

(已有POC)Jeecgboot低代码平台存在SQL注入漏洞

利用路径/api/sys/ng-alain/getDictItemsByTable

(已有POC)汉王e脸通综合管理平台任意文件上传漏洞

利用路径/manage/mobiMeetingApp/uploadMeetingFile.do

(已有POC)指挥调度管理平台uploadgps.php存在SQL注入漏洞

利用路径/api/client/task/uploadgps.php

(已有POC)金和OAArchivesFileTraceSearch存在SQL注入漏洞

利用路径/C6/JHSoft.Web.Archives/ArchivesFileTraceSearch.aspx/

(已有POC)万户OA存在sql注入漏洞

利用路径

/defaultroot/modules/govoffice/gov_documentmanager/govdocumentmanager_sendfile_gd.jsp;

.js

(已有POC)明源ERPDataRule_XMLHTTP存在SQL注入漏洞

利用路径/BUAdjust/DataRule/DataRule_XMLHTTP.aspx/

以上漏洞团队已掌握poc

网传漏洞

情报获取时间0721

(在野利用)大蚂蚁即时通讯down.html任意文件读取

(在野利用)大华DSS综合管理平台cascademodifyLinkedDev反序列化远程代码执行

(在野利用)金蝶企业移动管理云uploadPackageAction文件上传

(在野利用)天运通PACTLupload任意文件上传

(在野利用)JournalX期刊稿件采编系统Resume任意文件上传

(在野利用)群杰印章密码重置

(在野利用)胜意费控云connect接口SSRF

(在野利用)用友U9CloudPDFDirectPrint.aspx反序列化

(在野利用)TeemlinkMyApps任意文件上传漏洞

(在野利用)华天动力协同办公系统存信息泄露

(在野利用)MicrosoftSharePoint远程代码执行洞(CVE-2025-53770)

(在野利用)FoxCMS任意文件上传漏洞(CVE-2025-51650)

(在野利用)SemCmsSQL注入漏洞