华顺信安漏洞简报2025年7月2日

资产测绘：https://fofa.info/

查看漏洞详情：Goby漏洞更新

1. 泛微 e-cology OA getdata.jsp 文件 loginid 参数 SQL 注入漏洞

关联路径：/js/hrm/getdata.jsp

影响版本：暂无详情

FOFA自查语法：(header="testBanCookie" || banner="testBanCookie" || body="/wui/common/css/w7OVFont.css" || (body="typeof poppedWindow" && body="client/jquery.client_wev8.js") || body="/theme/ecology8/jquery/js/zDialog_wev8.js" || body="ecology8/lang/weaver_lang_7_wev8.js")

关联资产数：56,434

全系产品可检测、可验证：CVD-2021-15047，往期已发布，发布时间21年11月

请将漏洞库升级至最新版本

2. 用友 /portal/pt/oacoSchedulerEvents/listUserSharingEvents SQL 注入漏洞

关联路径： /portal/pt/oacoSchedulerEvents/listUserSharingEvents

影响版本：暂无详情

FOFA自查语法：(body="UFIDA" && body="logo/images/") || (body="logo/images/ufida_nc.png") || title="Yonyou NC" || body="<di v id=\"nc_text\">" || body="<di v id=\"nc_img\" on mouseover=\"overImage('nc');" || (title=="产品登录界面" && body="UFIDA NC") || (body="/Client/Uclient/UClient.exe" && title=="Yonyou UAP")

关联资产数：8,314

全系产品可检测、可验证：CVD-2025-1663，往期已发布，发布时间25年4月

请将漏洞库升级至最新版本

3. DataEase /de2api/datasource/validate 代码执行漏洞（CVE-2025-48999/CVE-2025-49001/CVE-2025-49002）

关联路径：/de2api/datasource/validate

影响版本：< 2.10.10

FOFA自查语法：body="/js/index-0.0.0-dataease.js" || body="/assets/css/style-0.0.0-dataease.css"

关联资产数：4,757 

全系产品可检测、可验证：CVD-2025-2589，往期已发布，发布时间25年6月

请将漏洞库升级至最新版本

4. 泛微协同办公OA系统jqueryFileTree.jsp文件dir参数信息泄露漏洞

关联路径：/js/jquery/plugins/jqueryFileTree/connectors/jqueryFileTree.jsp

影响版本：暂无详情

FOFA自查语法：(((body="szFeatures" && body="redirectUrl") || (body="rndData" && body="isdx")))

关联资产数：3,073

全系产品可检测、可验证：CVD-2021-5922，往期已发布，发布时间22年10月

请将漏洞库升级至最新版本

5.Wifi-soft UniBox controller /tools/download_csv.php 文件读取漏洞

关联路径：/Web/SysManage/sysGroupEdit.aspx

影响版本：暂无详情

FOFA自查语法：body="Unibox" && body="Controller" || body="www.wifi-soft.com"

关联资产数：1042

全系产品可检测、可验证：CVD-2025-2719

请将漏洞库升级至最新版本

6. 爱数Anyshare智能内容管理平台 start_service 存在命令执行漏洞

关联路径：/api/ServiceAgent/start_service

影响版本：暂无详情

FOFA自查语法：(body="res/libs/webuploader/webuploader.css" && body="src=\"/res/libs/ba se64.min.js\"") || (body="以下me ta会导致ShareWeb手机访问预览过大，暂先屏蔽" && body="ng-controller=\"MessageController\">")

关联资产数：972

全系产品可检测、可验证：CVD-2025-2725

请将漏洞库升级至最新版本

7. me taCRM 客户关系管理系统 /business/common/importdata/sendfile.jsp 文件上传漏洞

关联路径：/business/common/importdata/sendfile.jsp

影响版本：暂无详情

FOFA自查语法：body="/common/sc ripts/basic.js" && body="www.me tacrm.com.cn"

关联资产数：798

全系产品可检测、可验证：CVD-2025-2733

请将漏洞库升级至最新版本

8. me taCRM 客户关系管理系统 sendsms.jsp 任意文件上传

关联路径：/business/common/sms/sendsms.jsp

影响版本：暂无详情

FOFA自查语法：body="/common/sc ripts/basic.js" && body="www.me tacrm.com.cn"

关联资产数：798

全系产品可检测、可验证：CVD-2025-2734

请将漏洞库升级至最新版本

9. 满客宝智慧食堂管理系统 存在任意文件下载漏洞

关联路径： ba se/api/v1/kitchenVideo/downloadWebFile.swagger

影响版本：暂无详情

FOFA自查语法：body="/ba se/api/v1/currentEnv"

关联资产数：754

全系产品可检测、可验证：CVD-2024-1873、CVD-2024-3330、CVD-2023-3206，往期已发布，发布时间24年2月

请将漏洞库升级至最新版本

10.帆软 FineReport帆软报表 print_ie_pdf 代码执行漏洞

关联路径：

影响版本：暂无详情

FOFA自查语法：body="FineReport--Web Reporting Tool" || (body="/WebReport/ReportServer" && body="帆软") || title="青衣建材数据系统"

关联资产数：673

全系产品可检测、可验证：CVD-2025-2741

请将漏洞库升级至最新版本

11.浪潮PS财务管理 bizintegrationwebservice.asmx 代码执行漏洞

关联路径：/cwba se/gsp/webservice/bizintegrationwebservice/bizintegrationwebservice.asmx

影响版本：暂无详情

FOFA自查语法：title="TSCE" || body="/cwba se/web/sc ripts/jquery.js" || body="/tscelogo.png"

关联资产数：194

全系产品可检测、可验证：CVD-2024-3099，往期已发布，发布时间24年7月

请将漏洞库升级至最新版本

12. 安科瑞智能环保云平台 /getmonitorrealdata SQL 注入漏洞

关联路径：Swicth/getmonitorrealdata

影响版本：暂无详情

FOFA自查语法：(body="<input id=\"btnLogin\"" && body="环保用电监管云平台")

关联资产数：118

全系产品可检测、可验证：CVD-2025-2705

请将漏洞库升级至最新版本

13. 汉王e脸通综合管理平台 getDoors.do 存在SQL注入漏洞

关联路径：/manage/intercom/..;/..;/manage/firstPeopleOpen/getDoors.do

影响版本：暂无详情

FOFA自查语法：(title="汉王智慧园区" && body="<link rel=\"icon\" href=\"/logo.png\"")

关联资产数：115

全系产品可检测、可验证：CVD-2025-2726

请将漏洞库升级至最新版本

14. AgentSyste 代理商管理系统 login.action Struts2 远程代码执行漏洞

关联路径：/login.action

影响版本：暂无详情

FOFA自查语法：title="代理商管理系统" && body="/WebRoot/inc/foot.jsp"

关联资产数：73

全系产品可检测、可验证：CVD-2025-2722

请将漏洞库升级至最新版本

15. 华测监测预警系统 /Web/SysManage/sysGroupEdit.aspx SQL 注入漏洞

关联路径：/Web/SysManage/sysGroupEdit.aspx

影响版本：暂无详情

FOFA自查语法：body="<di v id="logo">华测监测预警系统2.2" || (body="App_Themes/Flat/Login/logo-top.png" && body="App_Themes/Flat/Login/Login.css")

关联资产数：64

全系产品可检测、可验证：CVD-2025-2712

请将漏洞库升级至最新版本

16. 金和OA /TaskTreeJSON.aspx SQL 注入漏洞

关联路径：/C6/JHSoft.Web.DailyTaskManage/TaskTreeJSON.aspx

影响版本：暂无详情

FOFA自查语法：(title="金和协同管理平台" || body="js/PasswordCommon.js" || body="js/PasswordNew.js" || body="Jinher Network" || (body="c6/Jhsoft.Web.login" && body="CloseWindowNoAsk"))

关联资产数：57

全系产品可检测、可验证：CVD-2024-4302，往期已发布，发布时间24年10月

请将漏洞库升级至最新版本

17.NIPS 绿盟网络入侵防护系统users.json敏感信息泄露漏洞

关联路径：/api/config/users.json

影响版本：暂无详情

FOFA自查语法：body="We're sorry but ipsweb" || title="NSFOCUS NIDPS"

关联资产数：46

全系产品可检测、可验证：CVD-2025-2742

请将漏洞库升级至最新版本