华顺信安漏洞简报2025年7月4日

资产测绘：https://fofa.info/

查看漏洞详情：Goby漏洞更新

1. 畅捷通T+ GetisInitBCRetail /tplus/ajaxpro/Ufida.T.SM.UIP.Tool.AccountClearControler,Ufida.T.SM.UIP.ashx SQL 注入漏洞

关联路径：/tplus/ajaxpro/Ufida.T.SM.UIP.Tool.AccountClearControler,Ufida.T.SM.UIP.ashx

FOFA自查语法：body="><sc ript>location='/tplus/';</sc ript></body>" || (title="畅捷通 T+" && body="/view/login.htm")

关联资产数：109,993

全系产品可检测、可验证：CVD-2025-2840

请将漏洞库升级至最新版本

2. 致远OA帆软报表 /seeyonreport/ReportServer 文件上传漏洞

关联路径：/seeyonreport/ReportServer

FOFA自查语法：(body="/seeyon/main.do" && body="/seeyon/common/") || server=="SY8045" || server=="SY8044"

关联资产数：88,884

全系产品可检测、可验证：CVD-2024-1065，往期已发布，发布时间2024年3月

请将漏洞库升级至最新版本

3. 致远 OA wpsAssistServlet 文件上传漏洞

关联路径：/seeyon/wpsAssistServlet

FOFA自查语法：(body="/seeyon/main.do" && body="/seeyon/common/") || server=="SY8045" || server=="SY8044"

关联资产数：88,884

全系产品可检测、可验证：CVD-2022-3422，往期已发布，发布时间2024年10月

请将漏洞库升级至最新版本

4. 金蝶 EAS myUploadFile.do 文件上传漏洞

关联路径：/easportal/buffalo/%2e%2e/cm/myUploadFile.do

FOFA自查语法：body="easSessionId" || header="easportal" || header="eassso/login" || banner="eassso/login" || body="/eassso/common" || (title="EAS系统登录" && body="金蝶") || header="EASSESSIONID" || banner="EASSESSIONID"

关联资产数：14,095

全系产品可检测、可验证：CVD-2023-3302，往期已发布，发布时间2024年10月

请将漏洞库升级至最新版本

5. Apusic 应用服务器 createDataSource 远程代码执行漏洞

关联路径：/protect/datasource/createDataSource

FOFA自查语法：body="images/head_right_filling.jpg" || body="/admin/protected/index.jsp" || server="Apusic Application Server"

关联资产数：10,890

全系产品可检测、可验证：CVD-2023-3336，往期已发布，发布时间2023年12月

请将漏洞库升级至最新版本

6. Apache ActiveMQ /api/jolokia/list 未授权访问漏洞（CVE-2024-32114）

关联路径：/api/jolokia/list

FOFA自查语法：(title="Apache ActiveMQ" && body="<di v id=\"activemq_logo\">")

关联资产数：8,672

全系产品可检测、可验证：CVD-2025-2808

请将漏洞库升级至最新版本

7. 明源云ERP /PubPlatform/Nav/Login/SSO/Login.aspx usercode 未授权访问漏洞

关联路径：/PubPlatform/Nav/Login/SSO/Login.aspx usercode

FOFA自查语法：body="hibot.js"||body=".hibot"||body="f96699bbadafca894f3c1b7a"||title="明源云ERP"||(body="window.location.replace('/_ba se/Home/Error/browser.html?enablemip=0');"&&body="深圳市明源云科技有限公司")

关联资产数：8,216

全系产品可检测、可验证：CVD-2024-0919，往期已发布，发布时间2024年10月

请将漏洞库升级至最新版本

8. WordPress Relevanssi /wp-admin/admin-ajax.php 未授权访问漏洞（CVE-2024-1380）

关联路径：/wp-admin/admin-ajax.php

FOFA自查语法：(body="/wp-content/plugins/relevanssi" && body="wordpress")

关联资产数：5,977

全系产品可检测、可验证：CVD-2025-2806

请将漏洞库升级至最新版本

9. 神州数码 DCME-320出口网关 /function/auth/user/black_list.php 文件读取漏洞

关联路径：/function/auth/user/black_list.php

FOFA自查语法：body="style/blue/css/dcn_ui.css" && body="UILanguage"

关联资产数：2,772

全系产品可检测、可验证：CVD-2025-2811

请将漏洞库升级至最新版本

10. 圣博润堡垒机 /fort/portal_login 代码执行漏洞

关联路径：/fort/portal_login

FOFA自查语法：body="/fort/login" && header="FORTSESSIONID"

关联资产数：1,825

全系产品可检测、可验证：CVD-2025-2844

请将漏洞库升级至最新版本

11. 泛微E-Office /general/new_mytable/block_content.php SQL 注入漏洞

关联路径：/general/new_mytable/block_content.php

FOFA自查语法：header="general/login/index.php" || body="/general/login/view//images/updateLoad.gif" || (body="szFeatures" && body="eoffice") || header="Server: eOffice"

关联资产数：945

全系产品可检测、可验证：CVD-2025-1226，往期已发布，发布时间2025年3月

请将漏洞库升级至最新版本

12. 时空智友企业流程化管控系统 uploadStudioFile 文件创建漏洞

关联路径：/formservice

FOFA自查语法：body="login.jsp?login=null"

关联资产数：731

全系产品可检测、可验证：CVD-2022-5546，往期已发布，发布时间2022年12月

请将漏洞库升级至最新版本

13. Synway SMG网关管理软件 /changelogo.php 命令执行漏洞

关联路径：/changelogo.php

FOFA自查语法：body="text ml10 mr20" && (title="网关管理软件" || title="Gateway Management")

关联资产数：716

全系产品可检测、可验证：CVD-2025-2832

请将漏洞库升级至最新版本

14. 华天软件 InforCenter PLM /ba se/ba seHandler.ashx 文件上传漏洞

关联路径：/ba se/ba seHandler.ashx

FOFA自查语法：body="ba se/ba sePage.aspx" || title="华天软件" || body="sso.foton.com.cn" || title="赛力斯"

关联资产数：660

全系产品可检测、可验证：CVD-2024-2059，往期已发布，发布时间2024年5月

请将漏洞库升级至最新版本

15. Sangfor EDR /tool/log/c.php文件 host 参数命令执行漏洞

关联路径：/tool/log/c.php

影响版本：暂无详情

FOFA自查语法：body="dataLayer','GTM-TL7G2LW'" || (cert="CommonName: 222.222.222.0" && cert="Organization: INFOSEC") || title=="Sangfor Endpoint Secure" || (body="SANGFOR终端检测响应平台" && title="SANGFOR")

关联资产数：505

全系产品可检测、可验证：CVD-2021-8347，往期已发布，发布时间2024年10月

请将漏洞库升级至最新版本

16.Qualitor 8.24及之前版本 /html/ad/adfilestorage/request/checkAcesso.php 文件上传漏洞 （CVE-2024-44849）

关联路径：/html/ad/adfilestorage/request/checkAcesso.php

FOFA自查语法：body="Qualitor" || (body="/fr amework/images/default/16/qualitor.png" && body="Uso autorizado mediante licenciamento")

关联资产数：429

全系产品可检测、可验证：CVD-2025-2817

请将漏洞库升级至最新版本

17. AstrBot /api/chat/get_file 目录遍历漏洞 （CVE-2025-48957）

关联路径：/api/chat/get_file

FOFA自查语法：title="仪表盘" && body="AstrBot"

关联资产数：399

全系产品可检测、可验证：CVD-2025-2805

请将漏洞库升级至最新版本

18. H3C-iMC智能管理中心 /selfservice/login.jsf 代码执行漏洞

关联路径：/selfservice/login.jsf

FOFA自查语法：title="用户自助服务" && body="/selfservice/javax.faces.resource" || body="/selfservice/index.xhtml"

关联资产数：380

全系产品可检测、可验证：CVD-2024-3533，往期已发布，发布时间2024年8月

请将漏洞库升级至最新版本

19.金和OA-C6系统 /jc6/servlet/ActionDataSet xm l 外部实体注入漏洞

关联路径：/jc6/servlet/ActionDataSet

FOFA自查语法：title="金和协同管理平台" || body="js/PasswordCommon.js" || body="js/PasswordNew.js" || body="Jinher Network" || (body="c6/Jhsoft.Web.login" && body="CloseWindowNoAsk") || body="/jc6/WEB-INF/jsp/platform/sys/login/finallogin.jsp"

关联资产数：80

全系产品可检测、可验证：CVD-2025-2825

请将漏洞库升级至最新版本

20. 理正企业综合管理系统 /CustomExp.ashx 接口 SQL存在注入漏洞

关联路径：/ajax/LeadingMIS.CustomExp.AjaxExp,LeadingMIS.CustomExp.ash

FOFA自查语法：body="LZSystem"

关联资产数：58

全系产品可检测、可验证：CVD-2024-0842，往期已发布，发布时间2024年3月

请将漏洞库升级至最新版本

【免责声明】本文档提供的信息旨在帮助网络安全专业人员更好地理解和维护业务系统的安全性，严禁用于任何非法用途，任何未经授权使用或由此产生的后果和损失，均由使用者自行承担！