近日,奇安信CERT监测到畅捷通T+ SQL注入漏洞(QVD-2023-13612),远程未授权攻击者可利用此漏洞在目标系统执行任意SQL语句,最终实现远程命令执行。鉴于该漏洞的POC已在互联网上公开,现实威胁上升,建议天守客户尽快做好自查及防护。 畅捷通 T+ 是一款基于互联网的新型企业管理软件,功能模块包括:财务管理、采购管理
畅捷通T+的某后台功能点只校验了权限,未对用户的输入进行过滤,导致在权限绕过后存在SQL注入漏洞,利用此漏洞攻击者最终可以实现远程命令执行。 影响范围 畅捷通T+ 13.0 畅捷通T+ 16.0 漏洞复现 fofa语法:app="畅捷通-TPlus" 登录页面如下: POC: POST /tplus/ajaxpro/Ufida.T.SM.UIP.MultiCompanyController,Ufida....
一、漏洞描述 022年8月29日和8月30日,畅捷通公司紧急发布安全补丁修复了畅捷通T+软件任意文件上传漏洞。未经身份认证的攻击者利用该漏洞,通过绕过系统鉴权,在特定配置环境下实现任意文件的上传,从而执行任意代码,获得服务器控制权限。目前,已有用户被不法分子利用该漏洞进行勒索病毒攻击的情况出现。 CNVD对该漏洞的...
近日,奇安信 CERT 监测到畅捷通T+ 反序列化漏洞(QVD-2023-13615),未经过身份认证的攻击者可以通过构造恶意的请求在目标服务器上执行任意命令。鉴于该漏洞的技术细节已在互联网上公开,现实威胁上升,建议天守客户尽快做好自查及防护。 畅捷通 T+ 是一款基于互联网的新型企业管理软件,功能模块包括:财务管理、采购管理、...
绿盟科技Titan团队第一时间成功复现: 二、影响范围 受影响版本 畅捷通 T+ <= v17.0 三、漏洞防护 官方升级 目前官方已发布补丁修复了该漏洞,请受影响的用户尽快安装更新进行防护,官方下载链接: chanjetvip.com/product/ 产品防护 部署有绿盟WEB应用防护系统(WAF)、绿盟综合威胁探针(UTS)与绿盟智能安全运营平台(IS...
畅捷通T+版本13.0和16.0均受到影响。网络测绘工具FOFA可用于识别存在风险的系统。漏洞复现步骤包括测试目标、指纹识别和登陆页面访问,通过特定的POC(Proof of Concept)代码,如指定Ajax请求中要调用的服务器端方法的名称(如X-Ajaxpro-Method),检查actorId或archivesId参数是否允许为空,以判断漏洞是否...
会员体系(甲方)会员体系(厂商)产品名录企业空间 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 框架安全-CVE 复现&Spring&Struts&Laravel&ThinkPHP漏洞复现 Web安全 中间件及框架列表:IIS,Apache,Nginx,Tomcat,Docker,K8s,Weblogic,JBoos,WebSphere,J... ...
文章被收录于专栏:漏洞复现 关联问题 换一批 畅捷通T+ InitServerInfo.aspx页面的SQL查询有哪些? 如何优化畅捷通T+ InitServerInfo.aspx的SQL性能? 畅捷通T+ InitServerInfo.aspx中SQL注入风险如何防范? 1、fofa语句 代码语言:yaml AI代码解释 app="畅捷通-TPlus" 2、数据包 代码语言:yaml AI代码解释 POST ...
云图:默认支持该产品的指纹识别,同时支持该漏洞的PoC原理检测。 全悉:已发布升级包,支持该漏洞利用行为的检测。 时间线 6月8日 长亭科技收到漏洞情报 6月8日 长亭应急响应实验室漏洞分析复现 6月9日 长亭安全应急响应中心发布通告 参考资料 https://www.chanjetvip.com/product/goods/...
畅捷通T+ 反序列化漏洞 2023-09-07 16:32:30 畅捷通T+ SQL注入漏洞 2023-06-09 09:26:56 时间轴 2022-09-07 11:13:22 完善漏洞修复/缓解方案 2022-08-31 11:15:04 对外发布更新公告 添加修复建议 2022-08-30 18:10:53 斗象安全本地复现漏洞 2022-08-30 18:10:50 斗象更新安全公告 2022-08-...