http://wechat.doonsec.com/MzkzMTcwMTg1Mg.xmlThe latest security articles about WeChat official accountzh-CNMon, 23 Mar 2026 17:24:00 GMTPyRSS2Gen-1.1.0http://blogs.law.harvard.edu/tech/rsshttp://wechat.doonsec.com/http://wechat.doonsec.com/static/front/img/doonsec_bak3.pnghttps://mp.weixin.qq.com/s/mKng7Qpf_oeHouYmvybWTw孚盟云 upload.ashx showImgss接口处存在SQL注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2026-03-23T10:36:00https://mp.weixin.qq.com/s/7PNzRZMg7Xy59fwMslddgg明源地产ERP GetErpDept.ashx 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2026-03-22T09:33:55https://mp.weixin.qq.com/s/9Pjebqtix6HAp79clo1u_QOmnissa apikeys 接口存在路径穿越漏洞，攻击者可访问或修改服务器文件系统中的任意文件，导致敏感信息泄露、系统被控制等严重后果u200c。Nday PocNday Poc2026-03-18T10:34:32https://mp.weixin.qq.com/s/9o0MnwRuYxT3b3S903CS-AWordPress WP-Recall – Registration, Profile, Commerce \\x26amp; More \\x26lt;= 16.26.10 插件存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2026-03-17T15:25:41https://mp.weixin.qq.com/s/KxpSqvBI7RsoK_p9siymXw快普M6 GetPositionOfStaff 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2026-03-16T14:59:25https://mp.weixin.qq.com/s/uuRb5m5h4fuGdyqXN7Xzdw万户 ezOFFICE checkSQL_httprequest.jsp 存在SQL注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码,站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2026-03-15T09:55:51https://mp.weixin.qq.com/s/8EdjLfarhbD7D507AgEpVAEnGenius EnShare usbinteract.cgi 接口存在远程命令执行漏洞,未经身份攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。该漏洞利用难度较低，建议受影响的用户尽快修复。Nday PocNday Poc2026-03-14T16:05:48https://mp.weixin.qq.com/s/6fyrEs5XI5rSd3AC1q69tA快普M6 GetCallInfo 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2026-03-13T11:05:41https://mp.weixin.qq.com/s/fRiYVp2pBo1NqLyIEHLCPADataEase 2.10.10 H2 JDBC 接口存在远程命令执行漏洞,未经身份攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。该漏洞利用难度较低，建议受影响的用户尽快修复。Nday PocNday Poc2026-03-12T10:21:17https://mp.weixin.qq.com/s/Z0f8-_s-66gbmT-YJEGGuw天锐绿盾审批系统 findOnlineUserForPage.do 存在信息泄露漏洞，未经身份验证的远程攻击者可利用此漏洞获取后台账号密码等敏感信息，从而登录后台，使系统处于极不安全的状态。Nday PocNday Poc2026-03-11T22:11:43https://mp.weixin.qq.com/s/HRSOqM2-y2ZopSxCo-RI6QMoodle jsmol.php 接囗处存在任意文件包含漏洞,未经身份验证的远程攻击者通过漏洞可以获取到服务器敏感信息，导致系统处于极不安全的状态。Nday PocNday Poc2026-03-10T10:56:38https://mp.weixin.qq.com/s/2U16TqpTD7jvTGamfEJRWA用友NC importPml 接口处存在XML实体注入漏洞，攻击者可利用xxe漏洞获取服务器敏感数据，可读取任意文件以及ssrf攻击，存在一定的安全隐患。Nday PocNday Poc2026-03-09T10:42:22https://mp.weixin.qq.com/s/uR5rdkaE6L40rZEKHwSNIA用友NC doSingUp 接口存在SQL注入漏洞，攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令，从而控制服务器。经过分析与研判，该漏洞利用难度低，建议尽快修复。Nday PocNday Poc2026-03-06T10:11:04https://mp.weixin.qq.com/s/381ABDm6YjMWK2XxW7ZWZQ天锐绿盾审批系统 findTenantPage.do 接口处存在sql注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2026-03-05T17:27:44https://mp.weixin.qq.com/s/ru5jPwEt5CX3ndFZKZv2ww热网无线监测系统 RealTimeOther.asmx 接口处存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限Nday PocNday Poc2026-03-03T14:51:29https://mp.weixin.qq.com/s/1I-sIcjtp8fZxHUQD9LeAQ锐明技术Crocus系统 DeviceFileReport.do 接囗处存在任意文件读取漏洞,未经身份验证的远程攻击者通过漏洞可以获取到服务器敏感信息，导致系统处于极不安全的状态。Nday PocNday Poc2026-03-02T10:32:14https://mp.weixin.qq.com/s/afnZUF0ld5jw-nzvV_8Zgw天锐绿盘文档安全管理平台 findConfigForPage.do 接口处存在sql注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2026-03-01T17:41:23https://mp.weixin.qq.com/s/Yri1rhULGwco5iPCGb5cNg天锐绿盘文档安全管理平台 findForPage.do 接口处存在sql注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2026-02-28T16:07:44https://mp.weixin.qq.com/s/mZpMa6fy-wfAbQIvJ461rw三星MagicINFO SWUpdateFileUploader 接口存在任意文件上传漏洞，未经身份攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。Nday PocNday Poc2026-02-27T10:20:31https://mp.weixin.qq.com/s/JamQgowfqX9LPdjxJS_MzA天锐绿盾审批系统 findUserPage.do 接口处存在sql注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2026-02-26T15:59:28https://mp.weixin.qq.com/s/bvomxPDoWhUnM06ScBBvGw用友NC importExcelTemplate接口处存在任意文件上传漏洞，攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。Nday PocNday Poc2026-02-12T16:45:43https://mp.weixin.qq.com/s/bcvQsHxm0ydF06nncGxo8AStirling PDF 接口存在服务器请求伪造漏洞。因此攻击者可利用该漏洞在未经身份验证的情况下访问某些受限资源.获取内部服务器信息，使系统处于极不安全状态。Nday PocNday Poc2026-02-10T10:29:50https://mp.weixin.qq.com/s/OV2z-ShfQi0R94UxpbEaZA金和OA CallSystemShow.aspx 接口存在SQL注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码,站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2026-02-09T09:58:20https://mp.weixin.qq.com/s/Jhi_SVgXR-DQKyCqUjBwyw快普M6 GetCustomerList 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2026-02-07T16:47:37https://mp.weixin.qq.com/s/3CVrYCSOgBKaNNnJBzwmaA快普M6 GetAccountTitleList 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2026-02-06T10:31:24https://mp.weixin.qq.com/s/V2PfbKcxiPJIrsjVrbxMSQ锐明技术Crocus系统 MemoryState.do 接口处存在sql注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2026-02-05T10:22:47https://mp.weixin.qq.com/s/_a_iDUzZ5fukOib-I9T93g用友NC importCombo 接口处存在XML实体注入漏洞，攻击者可利用xxe漏洞获取服务器敏感数据，可读取任意文件以及ssrf攻击，存在一定的安全隐患。Nday PocNday Poc2026-02-04T10:21:00https://mp.weixin.qq.com/s/gX41gGKxm3xv5Y-SpoPx8gIlevia EVE X1 Server login.php接口存在远程命令执行漏洞,未经身份攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。该漏洞利用难度较低，建议受影响的用户尽快修复。Nday PocNday Poc2026-02-03T11:47:37https://mp.weixin.qq.com/s/ZyHcFo43xzaqIprG75msPQ天锐绿盘云文档安全管理 uploadFolder.do 接口存在任意文件上传漏洞，未经身份攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。Nday PocNday Poc2026-02-02T11:08:31https://mp.weixin.qq.com/s/riytASFc-80HU5mOKmEQ_QNestJS Devtools接口存在远程命令执行漏洞,未经身份攻击者可通过该漏洞在服务器端任意执行代码,写入后门，获取服务器权限,进而控制整个 web 服务器。该漏洞利用难度较低,建议受影响的用户尽快修复。Nday PocNday Poc2026-01-30T10:41:33https://mp.weixin.qq.com/s/eI1Gpa6GllOnokinRO9ZeQ大华DSS平安城市 login_getPasswordErrorNum.action 接口处存在sql注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2026-01-29T10:18:49https://mp.weixin.qq.com/s/2aenwppwEtpBzaphxUBKsw明源地产ERP MyPub_XMLHTTP.aspx 接口存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2026-01-28T11:20:37https://mp.weixin.qq.com/s/HVaMyw8Gadxk7MPLsuVV3AIM 即时通讯系统 preview.php 接口存在任意文件上传漏洞，未经身份验证的攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。Nday PocNday Poc2026-01-27T11:05:40https://mp.weixin.qq.com/s/QBEuBgLtMEHw4lhqh_Z1tw新中大ERP企业管理软件 NGInterface接口处存在sql注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2026-01-26T11:08:21https://mp.weixin.qq.com/s/R__xiTDK5srXHzgYjuK92g畅捷通 mailinactive.php接口处存在sql注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2026-01-25T16:42:21https://mp.weixin.qq.com/s/gc7Fy6MnKqAHZ4CqxIStYA亿赛通电子文档安全管理系统 AppExamList.jsp接口处存在sql注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2026-01-23T10:39:18https://mp.weixin.qq.com/s/ZYIzxnSoCnDyseN12txeDA天锐绿盾审批系统 uploadWxFile.do 接口存在任意文件上传漏洞，未经身份攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。Nday PocNday Poc2026-01-22T10:47:10https://mp.weixin.qq.com/s/htPJk0Hp4LLl20Is3pf1lg旭帆易云视信息科技有限公司 EasyCVR getbaseconfig存在信息泄露漏洞，未经身份验证的远程攻击者可利用此漏洞获取系统等敏感信息。Nday PocNday Poc2026-01-21T10:33:40https://mp.weixin.qq.com/s/mN4xDSfcapBu2WmfiszgWgIM 即时通讯系统 fileupload.php 接口存在任意文件上传漏洞，未经身份验证的攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。Nday PocNday Poc2026-01-20T11:18:00https://mp.weixin.qq.com/s/FyzAVvP2d4GqQY0HovzXKA森鑫炬水务企业综合运营平台 Instance/Get 接囗处存在任意文件读取漏洞,未经身份验证的远程攻击者通过漏洞可以获取到服务器敏感信息，导致系统处于极不安全的状态。Nday PocNday Poc2026-01-19T15:11:18https://mp.weixin.qq.com/s/zzVML-pKM5_WtGCvqxW_OQ美特CRM sendmail.jsp 接口存在任意文件上传漏洞，未经身份攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。Nday PocNday Poc2026-01-18T19:59:16https://mp.weixin.qq.com/s/-LnxpwYw6Lz4ayZ1yywn1A致远OA wpsAssistServlet 接口存在任意文件上传漏洞，未经身份攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。Nday PocNday Poc2026-01-16T14:04:37https://mp.weixin.qq.com/s/2zKhVQzF7mpwxz06-B3awg用友U8 CRM checkselectpartapply.php 接口存在SQL注入漏洞，未经身份验证的攻击者通过漏洞执行任意SQL语句，调用xpcmdshell写入后门文件，执行任意代码，从而获取到服务器权限。Nday PocNday Poc2026-01-15T11:02:35https://mp.weixin.qq.com/s/tiEV8NdyhAY5Z_Pf-Jod5w东胜物流软件 DsWebService.asmx 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL注入漏洞获取数据库中的信息(例如，管理员后台密码、站点的用户个人信息)之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2026-01-14T11:04:41https://mp.weixin.qq.com/s/xwiSH9SFnyWLNaxaoxnkWw用友时空 richclient.openForm 接口处存在XML实体注入漏洞，攻击者可利用xxe漏洞获取服务器敏感数据，可读取任意文件以及ssrf攻击，存在一定的安全隐患。Nday PocNday Poc2026-01-12T09:41:09https://mp.weixin.qq.com/s/LkenoQ5faJgHR-rctXp4jw东胜物流 GetDataList 接口存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2026-01-11T18:59:39https://mp.weixin.qq.com/s/PoN_pEQ8LjuPga3CjUTanw科汛新职教网校系统 checkPayStatus 接口存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2026-01-10T17:25:58https://mp.weixin.qq.com/s/Q2Rdiwgz2bxGEZwtA_HxCg东胜物流软件 FileExport.aspx 接囗处存在任意文件读取漏洞,未经身份验证的远程攻击者通过漏洞可以获取到服务器敏感信息，导致系统处于极不安全的状态。Nday PocNday Poc2026-01-09T10:17:58https://mp.weixin.qq.com/s/gCVLDBcv3A6cHnm62pdyTg驰骋BPM低代码开发平台 RichUploadFile接口存在任意文件上传漏洞，未经身份攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。Nday PocNday Poc2026-01-08T11:14:31https://mp.weixin.qq.com/s/7N0LqDINUbL-32-__fUH_A汉王e脸通综合管理平台 getFirstEmp.do 接口存在SQL注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码,站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2026-01-06T10:45:41https://mp.weixin.qq.com/s/l8sBE0Vl53aUsjxPHYDb2Q亿赛通电子文档安全管理系统 WorkFlowAction接口处存在sql注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2026-01-05T14:56:10https://mp.weixin.qq.com/s/d2IspurW2qLalUSXNunIMQ灵当CRM copyLinkToContent 接口存在服务器请求伪造漏洞。因此攻击者可利用该漏洞在未经身份验证的情况下访问某些受限资源.获取内部服务器信息，使系统处于极不安全状态。Nday PocNday Poc2026-01-04T15:51:15https://mp.weixin.qq.com/s/MIvhNlQvjMd8dL2WpI9nzA华天InforcenterPLM BaseHandler.ashx 接口存在任意文件上传漏洞，未经身份攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。Nday PocNday Poc2025-12-30T14:08:34https://mp.weixin.qq.com/s/Hra0BymXRQQeCy3-yMmWrwWPS文档中心和文档中台的/open/v6/api/etcd/operate?key=/config/storage\\x26amp;method=get接口存在未授权访问漏洞，攻击者可通过该漏洞获取AK/SK密钥。Nday PocNday Poc2025-12-29T10:31:18https://mp.weixin.qq.com/s/XN2Yv_D0SjOhW1ksHDsejw南昊网上阅卷系统 logname接口存在信息泄露漏洞，未经身份验证的远程攻击者可利用此漏洞获取网站后台系统用户密码等敏感信息，从而登录网站后台系统，使网站处于极不安全的状态。Nday PocNday Poc2025-12-28T19:01:56https://mp.weixin.qq.com/s/kqXz-fPLHCO-nHlEeEWmPg用友NC Cloud IMetaWebService4BqCloud接口存在SQL注入漏洞，攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令，从而控制服务器。经过分析与研判，该漏洞利用难度低，建议尽快修复。Nday PocNday Poc2025-12-26T21:38:14https://mp.weixin.qq.com/s/xv8k66LG1PXCcW-VpUZxtg攻击者可通过构造恶意SQL语句，利用export/excel接口传入未校验的参数，实现SQL注入攻击。成功利用该漏洞可上传WebShell，进而获取服务器权限，执行任意系统命令，导致数据泄露、服务器被控制等严重后果。Nday PocNday Poc2025-12-25T14:33:38https://mp.weixin.qq.com/s/e5NHWog9u5c_RnB5PxeRXw东胜物流软件 WorkFlowGridSource.aspx接口处存在SQL注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-12-24T22:53:30https://mp.weixin.qq.com/s/R_VcChLhXF2KOLg7sOQAJQ灵当CRM XlsFileUpload.php 接口存在任意文件上传漏洞，未经身份验证的攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。Nday PocNday Poc2025-12-22T21:31:33https://mp.weixin.qq.com/s/kvf1lyJ0g-jQcHI2LnYKxw蓝凌OA DingUsers.aspx 接口存在SQL注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码,站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-12-21T17:03:36https://mp.weixin.qq.com/s/fWQkUvrtwJOU6aEifVVzwQ该漏洞利用 Windows/.NET字符处理的特殊性和 Unicode 规范化来强制目标 DNN 服务器向攻击者控制的服务器发出 SMB 请求Nday PocNday Poc2025-12-20T19:08:34https://mp.weixin.qq.com/s/c2NYqy-UiaGK5Z6UGO2now中识云平台 sys_user_list接口存在信息泄露漏洞，未经身份验证的远程攻击者可利用此漏洞获取网站后台系统用户密码等敏感信息，从而登录网站后台系统，使网站处于极不安全的状态。Nday PocNday Poc2025-12-19T21:15:16https://mp.weixin.qq.com/s/-utMfU_DCU5dJEcvgA8faw东胜物流管理软件 WmsZXFeeGridSource.aspx接口处存在SQL注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-12-16T10:33:58https://mp.weixin.qq.com/s/hg8X_gLXBuLQuS8KFTbwBQ森鑫炬水务企业综合运营平台 File/Get 接囗处存在任意文件读取漏洞,未经身份验证的远程攻击者通过漏洞可以获取到服务器敏感信息，导致系统处于极不安全的状态。Nday PocNday Poc2025-12-14T19:08:04https://mp.weixin.qq.com/s/-OLXmZ7CA1w0PyVAAfFy3Q美特CRM mobileupload.jsp 接口存在任意文件上传漏洞，未经身份攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。Nday PocNday Poc2025-12-13T18:49:41https://mp.weixin.qq.com/s/DiyY7pMDnViwMUL8DTHKIgZKTime 熵基智能考勤管理系统 ic1ock 接口存在SQL注入，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码,站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-12-12T20:41:25https://mp.weixin.qq.com/s/tvcxieoN1trfVRiZ11k63g普华PMS GetFilesData 接口存在SQL注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码,站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-12-09T21:04:35https://mp.weixin.qq.com/s/_W9DvKv3N3JsMbViJjtgHg孚盟云 GetIcon.aspx 接口存在SQL注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码,站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-12-08T20:56:50https://mp.weixin.qq.com/s/C7miSQDWJknXrwREsQedSQ汉王EFaceGO wxLogin.do存在信息泄露漏洞，未经身份验证的远程攻击者可利用此漏洞获取网站后台系统用户密码等敏感信息，从而登录网站后台系统，使网站处于极不安全的状态。Nday PocNday Poc2025-12-07T18:13:52https://mp.weixin.qq.com/s/T6GZLDjxXjwLujfCk9anWgDruid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控，当开发者配置不当时就可能造成未授权访问漏洞。Nday PocNday Poc2025-12-06T19:55:21https://mp.weixin.qq.com/s/aR0isCw6TGJn4na4sN894A由于在解析客户端提交的表单时缺少安全校验，攻击者可通过构造恶意表单请求，直接调用 Node.js 内置模块，从而在服务器上执行任意系统命令、读写任意文件，甚至完全接管服务。Nday PocNday Poc2025-12-05T21:03:06https://mp.weixin.qq.com/s/MKxuDdXHf8Q6EY8rN4tdvA扁鹊飞救智能急救与质控系统 GetMonitorList 接口存在SQL注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-12-02T21:04:16https://mp.weixin.qq.com/s/AjkorfSa6yFM4mxEA0neJQ汉王e脸通综合管理平台 addVisitDeviceAppointmentInfoTest.do接口处使用存在漏洞 fastjson 组件，未授权的攻击者可通过fastjson 序列化漏洞对系统发起攻击获取服务器权限。Nday PocNday Poc2025-12-01T21:13:05https://mp.weixin.qq.com/s/-31WTXuZHTdtMnQWDTCfrg用友时空KSOA系统 workslist.jsp接口处存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-11-30T18:19:59https://mp.weixin.qq.com/s/7sUXkoOvnrDJOfM2k6tbbA南北软件ERP ListDir.jsp接口对用户输入过滤不当导致路径遍历，攻击者可读取配置文件等敏感信息实现隐私数据获取，也可读取关键配置实现进一步利用。Nday PocNday Poc2025-11-29T18:07:53https://mp.weixin.qq.com/s/bBv3o53hMOH_AL9aI8_6PA由于畅捷通T+的GetisInitBCRetail接口处未对用户的输入进行过滤和校验，未经身份验证的攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-11-28T14:52:29https://mp.weixin.qq.com/s/t8njhTA3Q8FweL8Gdt70hQ该漏洞源于/geoserver/wms端点GetMap操作未对XML请求中的外部实体引用进行充分限制，攻击者可通过构造恶意XML数据读取服务器敏感信息或引发拒绝服务。Nday PocNday Poc2025-11-27T12:20:27https://mp.weixin.qq.com/s/vYKU43X-RFW1TsCi74QEQQ若依框架 sendMessageWithAttachment 接囗处存在任意文件读取漏洞,未经身份验证的远程攻击者通过漏洞可以获取到服务器敏感信息，导致系统处于极不安全的状态。Nday PocNday Poc2025-11-26T12:15:06https://mp.weixin.qq.com/s/ZVO8GZkZVJYDfCr7i1p3Rw美特CRM headimgsave 接口存在SQL注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码,站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-11-25T10:19:35https://mp.weixin.qq.com/s/-yA5_erUBsZz3V3tqS7i-ANday PocNday Poc2025-11-24T11:07:17https://mp.weixin.qq.com/s/_hdveXU0RENH719NYbv3-Q该漏洞源于Oracle E-Business Suite在处理用户请求时，多个组件存在安全缺陷：UiServlet未对用户提供的XML参数进行充分验证，导致SSRF漏洞；Nday PocNday Poc2025-11-23T22:01:09https://mp.weixin.qq.com/s/oycLYgqTBlenA0xuSAeDJg明源地产ERP login.aspx 接口存在身份认证绕过漏洞，未授权的攻击者可利用漏洞url获取在线用户sessionid 导致用户信息泄露，并且切换网站session后可直接接管后台，造成信息泄露或恶意破坏，使系统处于极不安全状态。Nday PocNday Poc2025-11-21T17:43:15https://mp.weixin.qq.com/s/CnUtkTN3xdaZJ6scECrlZQ家装ERP管理系统 WeChatAPI_ERPMobile.ashx 接口存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-11-20T11:08:47https://mp.weixin.qq.com/s/rwgKZoY-Y68qKZym6FSlfA汉王e脸通综合管理平台 getDoors.do 接口存在SQL注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码,站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限Nday PocNday Poc2025-11-18T17:21:17https://mp.weixin.qq.com/s/QBO02RP4Va9bGj4CljG8Sw汉王e脸通综合管理平台 meetingFileManage.do 接口存在SQL注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-11-17T10:55:51https://mp.weixin.qq.com/s/QnprtYNZ4lYulRDVZCsTzg汉王EFaceGO getGroupEmployee.do 接口存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用 此漏洞获取数据库中的信息之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-11-16T17:38:14https://mp.weixin.qq.com/s/i8nOqQeaph_sEM71r0KtrA深信服运维管理系统 set_port接口存在远程命令执行漏洞，未经身份攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。该漏洞利用难度较低，建议受影响的用户尽快修复。Nday PocNday Poc2025-11-15T17:36:23https://mp.weixin.qq.com/s/gipFOo4Eu2SYlMs43y3wyQKINGOSOFT 高校智慧校园教学综合服务平台 downloadzgkssmwd.jsp接囗处存在任意文件读取漏洞,未经身份验证的远程攻击者通过漏洞可以获取到服务器敏感信息，导致系统处于极不安全的状态。Nday PocNday Poc2025-11-12T21:22:17https://mp.weixin.qq.com/s/MUmsTO9dzYEgJ-HGhohCJA泛微E Cology jqueryFileTree.jsp接口存在路径穿越漏洞，攻击者可访问或修改服务器文件系统中的任意文件，导致敏感信息泄露、系统被控制等严重后果u200c。Nday PocNday Poc2025-11-11T11:32:16https://mp.weixin.qq.com/s/o8d5bE0odL7sQnbqOP7Aug华天软件 Inforcenter PLM存在任意文件读取漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。Nday PocNday Poc2025-11-10T11:06:09https://mp.weixin.qq.com/s/UDnmgJuNF61ANVRTbnYOHQ泛微E cology9 getdata.jsp 接口存在SQL注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码,站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限Nday PocNday Poc2025-11-07T11:08:58https://mp.weixin.qq.com/s/YXZPsilMuE9VUJtaNfIl7A汉王EFaceGO queryMeetingFile.do 接口存在SQL注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-11-05T21:35:16https://mp.weixin.qq.com/s/bUCT108MU5tmRb8OVEaT2A用友NCxa0deleteEventxa0接口存在SQL注入漏洞，攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令，从而控制服务器。经过分析与研判，该漏洞利用难度低，建议尽快修复。Nday PocNday Poc2025-11-04T10:46:49https://mp.weixin.qq.com/s/7mLS0v1K5RWWtnjXh8U3Zg用友NC ActivityNotice/export 接口存在SQL注入漏洞，攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令，从而控制服务器。经过分析与研判，该漏洞利用难度低，建议尽快修复。Nday PocNday Poc2025-11-03T10:31:42https://mp.weixin.qq.com/s/r7HSVRe2Ypmi71T3TUMmxg美特CRM getFile 接囗处存在任意文件读取漏洞,未经身份验证的远程攻击者通过漏洞可以获取到服务器敏感信息，导致系统处于极不安全的状态。Nday PocNday Poc2025-10-31T10:31:02https://mp.weixin.qq.com/s/U9DM7qvagUS5M3v_vmlPiw宏景eHR DigestDownLoad 接口处存在SQL注入漏洞，攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令，从而控制服务器。经过分析与研判，该漏洞利用难度低，建议尽快修复。Nday PocNday Poc2025-10-30T10:36:11https://mp.weixin.qq.com/s/kti50AoTPjyTUPR-ft4GUA月子会所ERP云管理平台 UploadHandler.ashx 接囗处存在任意文件读取漏洞,未经身份验证的远程攻击者通过漏洞可以获取到服务器敏感信息，导致系统处于极不安全的状态。Nday PocNday Poc2025-10-29T15:15:16https://mp.weixin.qq.com/s/gZZPz7YAghr_CA88KHFP3g在版本 1.11.11 之前，恶意行为者能够在未经身份验证的情况下执行任意代码，可以用来访问面板的服务器，从面板的配置中读取凭据，从数据库中提取敏感信息，访问由面板管理的服务器的文件等Nday PocNday Poc2025-10-28T10:40:09https://mp.weixin.qq.com/s/cKOV-_IdA2dU8OX5sLAY3w信呼OA openkqjAction 存在SQL注入，未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限Nday PocNday Poc2025-10-24T16:53:06https://mp.weixin.qq.com/s/W9bXVGHgfqtXBWaYm-UJaAIdeaCMS 接口存在SQL注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码,站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-10-23T15:00:35https://mp.weixin.qq.com/s/VijX9UNQGnLOeG6Tr648uA汉王e脸通综合管理平台 exportResourceByFilePath 接囗处存在任意文件读取漏洞,未经身份验证的远程攻击者通过漏洞可以获取到服务器敏感信息，导致系统处于极不安全的状态。Nday PocNday Poc2025-10-22T10:37:25https://mp.weixin.qq.com/s/7P7vj5FP7_AqWtNnScavHQEvertzSDVN3080ipx 10G接口存在远程命令执行漏洞，未经身份攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。该漏洞利用难度较低，建议受影响的用户尽快修复。Nday PocNday Poc2025-10-20T09:55:00https://mp.weixin.qq.com/s/7NEJHCjlhrKbxzqw6YCtQg金和OA JC6 WebBill 接囗处存在任意文件读取漏洞,未经身份验证的远程攻击者通过漏洞可以获取到服务器敏感信息，导致系统处于极不安全的状态。Nday PocNday Poc2025-10-18T16:36:08https://mp.weixin.qq.com/s/mLICn_MtEvfHGjTam3kyXQ金和OA JC6 PathFile 接口处存在XML实体注入漏洞，攻击者可利用xxe漏洞获取服务器敏感数据，可读取任意文件以及ssrf攻击，存在一定的安全隐患。Nday PocNday Poc2025-10-17T14:33:40https://mp.weixin.qq.com/s/tLes2-GuGQinPsnN9tpHzw厦门四信通信科技有限公司设备管理平台 DeviceView 接口存在SQL注入漏洞，攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令，从而控制服务器。经过分析与研判，该漏洞利用难度低，建议尽快修复。Nday PocNday Poc2025-10-16T10:23:51https://mp.weixin.qq.com/s/b5e8PAspvYD2Y8Q1dujKhQ云课网校系统 localupload接口存在任意文件上传漏洞，未经身份验证远程攻击者可利用该漏洞代码执行，写入WebShell,进一步控制服务器权限。Nday PocNday Poc2025-10-15T14:42:16https://mp.weixin.qq.com/s/1x2guIYLnXaq4MYi94rw0g扁鹊飞救智能急救与质控系统 YZGH 接口处存在XML实体注入漏洞，攻击者可利用xxe漏洞获取服务器敏感数据，可读取任意文件以及ssrf攻击，存在一定的安全隐患。Nday PocNday Poc2025-10-14T10:58:48https://mp.weixin.qq.com/s/xPqV9S4rDMpDENA_s3uE0w用友NC listUserSharingEvents 接口存在SQL注入漏洞，攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令，从而控制服务器。经过分析与研判，该漏洞利用难度低，建议尽快修复。Nday PocNday Poc2025-10-13T10:34:50https://mp.weixin.qq.com/s/BKU6270CWfoomJKe6nlO1Q非管理员用户利用 API 端点“PATCH /api/users/：id”将“is_admin”字段设置为 1。该漏洞允许恶意的低权限用户在未经适当授权的情况下执行管理作Nday PocNday Poc2025-10-12T20:03:04https://mp.weixin.qq.com/s/kvtsZgAuQcYeXVI0uY0YmA由于用户输入的验证和清理不足，Hoverfly 中的中间件功能容易受到“/api/v2/hoverfly/middleware”端点的命令注入漏洞的攻击。Nday PocNday Poc2025-10-11T14:50:27https://mp.weixin.qq.com/s/IzB3-HV9JuElRikAvEBpWg攻击者可以通过访问系统中注册的@systemProperties bean，修改配置属性，从而关闭限制性模式。一旦成功绕过限制，攻击者就能够访问@environment等敏感bean，实现应用程序配置信息的泄露Nday PocNday Poc2025-10-10T12:11:55https://mp.weixin.qq.com/s/-l7hS_l0QmiVjRsn9b4bNg宏景eHR HrpService 接口处存在SQL注入漏洞，攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令，从而控制服务器。经过分析与研判，该漏洞利用难度低，建议尽快修复。Nday PocNday Poc2025-09-30T10:44:28https://mp.weixin.qq.com/s/SkdtgWlj5htqckfjKUKrmQ扁鹊飞救智能急救与质控系统 GetLyfsByParams 接口存在SQL注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-09-29T11:06:51https://mp.weixin.qq.com/s/oQETumjS1PT3Rp8nV5Io0A用友U8Cloud NCCloudGatewayServlet 存在远程命令执行漏洞。攻击者可以通过漏洞执行任意命令从而获取服务器权限，可能导致内网进一步被攻击。Nday PocNday Poc2025-09-28T13:49:40https://mp.weixin.qq.com/s/1hwcKIzHaNzsizB6bj6YFQ用友NC changeEvent接口存在SQL注入漏洞，攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令，从而控制服务器。经过分析与研判，该漏洞利用难度低，建议尽快修复。Nday PocNday Poc2025-09-27T19:34:31https://mp.weixin.qq.com/s/F47rfidliych-VT9Q-6TDw三汇网关管理系统 8-1-1userAdd 接口处存在任意用户创建漏洞，未经身份验证的远程攻击者可以利用此漏洞创建管理员账户，从而接管系统后台，造成信息泄露，导致系统处于极不安全的状态。Nday PocNday Poc2025-09-26T21:54:35https://mp.weixin.qq.com/s/wA1GnyglUu0fzAurzvsIDQ宏景eHR HrChangeInfoService 接口处存在SQL注入漏洞，攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令，从而控制服务器。经过分析与研判，该漏洞利用难度低，建议尽快修复。Nday PocNday Poc2025-09-25T21:38:56https://mp.weixin.qq.com/s/K0pBOqLorsHzJ68r6KZ6BA用友NC Cloud中IBapIOService 接口存在SQL注入漏洞，攻击者除了可以利用 SQL 注入获取数据库中的信息（例如，管理员后台密码,站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-09-24T17:18:33https://mp.weixin.qq.com/s/4iin6j9kEGg09qS2q4gLqg扁鹊飞救智能急救与质控系统 CreateJKDA 接口处存在XML实体注入漏洞，攻击者可利用xxe漏洞获取服务器敏感数据，可读取任意文件以及ssrf攻击，存在一定的安全隐患。Nday PocNday Poc2025-09-23T15:22:48https://mp.weixin.qq.com/s/JDmpIwkJN1PMnBlTYJIWCA广州图创 图书馆集群管理系统 PictureUpload 接口存在文件上传漏洞，未经身份攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。Nday PocNday Poc2025-09-23T11:04:41https://mp.weixin.qq.com/s/fEK9su2bqnXCPoAyyhMdCw智慧校园综合管理平台(安校易) ADTag.ashx 接口处存在SQL注入漏洞，未经身份验证的远程攻击者可利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令，从而控制服务器。经过分析与研判，该漏洞利用难度低，建议尽快修复。Nday PocNday Poc2025-09-22T14:41:25https://mp.weixin.qq.com/s/n6cbNkh1BoPhRAlOEIUzbw智慧校园综合管理平台(安校易) ADTag_Info.ashx 接口处存在SQL注入漏洞，远程攻击者可利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令，从而控制服务器。经过分析与研判，该漏洞利用难度低，建议尽快修复。Nday PocNday Poc2025-09-22T14:13:23https://mp.weixin.qq.com/s/W-C_S-ZXXq7qJelg561ZrA汉王e脸通综合管理平台 fileDownload.do 接囗处存在任意文件读取漏洞,未经身份验证的远程攻击者通过漏洞可以获取到服务器敏感信息，导致系统处于极不安全的状态。Nday PocNday Poc2025-09-22T10:18:27https://mp.weixin.qq.com/s/e2zBw0lJeqEDs8mQzeBrRQXWiki 对用户输入过滤不当导致路径遍历，通过 webjars API 访问配置文件。攻击者可读取配置文件等敏感信息实现隐私数据获取，也可读取关键配置实现进一步利用。Nday PocNday Poc2025-09-17T14:42:03https://mp.weixin.qq.com/s/Qak8pLyJ3uwRnI2T8NV9rgXWiki 对用户输入过滤不当导致路径遍历，配置文件可通过 jsx 和 sx 端点访问。攻击者可读取配置文件等敏感信息实现隐私数据获取，也可读取关键配置实现进一步利用。Nday PocNday Poc2025-09-17T11:15:19https://mp.weixin.qq.com/s/uoh3Vkj6atLtZet6qzZX5gxwiki sql注入漏洞 (CVE-2025-32969)Nday PocNday Poc2025-09-17T10:19:50https://mp.weixin.qq.com/s/iu8-KodEdHUO8Jwp4wDebwX2Modbus GetUser 存在信息泄露漏洞，未经身份验证的远程攻击者可利用此漏洞获取网站后台系统用户密码等敏感信息，从而登录网站后台系统，使网站处于极不安全的状态。Nday PocNday Poc2025-09-15T14:58:16https://mp.weixin.qq.com/s/Pww8EsO6qprKIGZ4SWVbIASSRF是一种由攻击者构造请求，利用服务器漏洞以服务端身份向内网发送请求的攻击方式。攻击者通过伪造请求内容，使服务器向指定目标发起未经授权的访问，通常用于获取内网敏感信息或资源。Nday PocNday Poc2025-09-15T10:51:43https://mp.weixin.qq.com/s/KH_WA_7ec2PyKpjfYfcpsQ灵当CRM cloudpro/index.php 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-09-12T14:38:57https://mp.weixin.qq.com/s/abiBcchX5jIKicoCOlKLkQ智慧校园综合管理平台(安校易) SysMenuScheme.ashx 接口处存在SQL注入漏洞，远程攻击者可利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令，从而控制服务器。经过分析与研判，该漏洞利用难度低，建议尽快修复。Nday PocNday Poc2025-09-12T10:22:17https://mp.weixin.qq.com/s/OFkTPfIs38bkl5FyG3SZpgAstrBot get_file接囗处存在任意文件读取漏洞,未经身份验证的远程攻击者通过漏洞可以获取到服务器敏感信息，导致系统处于极不安全的状态。Nday PocNday Poc2025-09-10T21:11:39https://mp.weixin.qq.com/s/jlAOIoLdWcz-f1zmOLMCdg汉王e脸通综合管理平台 resourceUploadFile.do 接口存在文件上传漏洞，未经身份攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。Nday PocNday Poc2025-09-09T21:10:20https://mp.weixin.qq.com/s/OYSTfv35eKp78j9JsSm0uw智邦国际ERP RecordPrint.ashx 接口存在SQL注入，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-09-09T20:35:14https://mp.weixin.qq.com/s/4SxKzkNLLZL1oLT3tckNbQ傲发办公通信专家 email.ashx 接口存在文件上传漏洞，未经身份攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。Nday PocNday Poc2025-09-08T11:18:40https://mp.weixin.qq.com/s/yXhs5qLmTSRkKQzmI1nm5w傲发办公通信专家 Checkingin.ashx 接口存在SQL注入漏洞，远程攻击者除了可以利用 此漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-09-08T10:42:12https://mp.weixin.qq.com/s/QhNmi387OLbybdICBYEpoQ西部数据 chk_vv_sharename.php 存在远程命令执行漏洞。攻击者可以通过漏洞执行任意命令从而获取服务器权限，可能导致内网进一步被攻击。Nday PocNday Poc2025-09-07T20:29:44https://mp.weixin.qq.com/s/n2EVMT8ebeglZ9AWzOubhwRicohWebImageMonitor存在一个反射的跨站脚本 （XSS） 漏洞，。这种攻击通常通过在网站的某些部分嵌入恶意代码来实现，最常见的是在网页的URL参数、隐藏表单字段、JavaScript代码中注入脚本。Nday PocNday Poc2025-09-07T18:11:27https://mp.weixin.qq.com/s/18FvJ9NbGhG-OncYiwct9QTosei network_test.php 存在远程命令执行漏洞。攻击者可以通过漏洞执行任意命令从而获取服务器权限，可能导致内网进一步被攻击。Nday PocNday Poc2025-09-07T17:26:54https://mp.weixin.qq.com/s/wJVK2NIs4Q-X9AK03bd3HgWordPress Relevanssi插件存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用此漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-09-05T22:18:32https://mp.weixin.qq.com/s/dh21EuxUf-44I8mjqCmp3A星网锐捷 DMB-BS-taskexport.jsp 存在信息泄露漏洞，未经身份验证的远程攻击者可利用此漏洞获取FTP服务器用户密码等敏感信息，从而登录FTP服务器，使服务器处于极不安全的状态。Nday PocNday Poc2025-09-03T21:31:59https://mp.weixin.qq.com/s/uuSvA00g1xtz9kVTrHEqowSysAid On-Prem 23.3.40及更早版本存在一项未授权XML外部实体注入漏洞（XXE），该漏洞位于服务器URL处理模块中。攻击者可利用此漏洞实施管理员账户接管，并获取系统文件读取权限。Nday PocNday Poc2025-09-03T20:37:30https://mp.weixin.qq.com/s/QkYcb-Or4kboghZo2fkB2g泛微e-office SignatureDel.php 接口存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用 此漏洞获取数据库中的信息之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-09-01T20:16:04https://mp.weixin.qq.com/s/YdaGy3uk5mGJoHiZG62uFA朗速ERP WebDwgDefault.aspx 接口存在文件上传漏洞，未经身份攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。Nday PocNday Poc2025-09-01T18:02:19https://mp.weixin.qq.com/s/KowFGVfCLebh1Mv04fbM-Q金华迪加 现场大屏互动系统 qiandao.php 接口处存在SQL注入漏洞，未授权的攻击者可通过此漏洞获取数据库权限，从而盗取用户数据，造成用户信息泄露。Nday PocNday Poc2025-08-30T17:19:27https://mp.weixin.qq.com/s/qUBKicrqFaPMr-OjVeFFjg满客宝后台管理系统 downLoadStockInFilexa0接囗处存在任意文件读取漏洞,未经身份验证的远程攻击者通过漏洞可以获取到服务器敏感信息，导致系统处于极不安全的状态。Nday PocNday Poc2025-08-29T10:07:57https://mp.weixin.qq.com/s/sami-yoOJF7tWteGRBpMLg上海上讯信息技术股份有限公司 运维管理审计系统 imo.php 存在远程命令执行漏洞。攻击者可以通过漏洞执行任意命令从而获取服务器权限，可能导致内网进一步被攻击。Nday PocNday Poc2025-08-28T11:00:01https://mp.weixin.qq.com/s/0YJbGrJMeM6HNld8z-vXQg用友U8 Cloud FileManageServlet 接囗处存在任意文件读取漏洞,未经身份验证的远程攻击者通过漏洞可以获取到服务器敏感信息，导致系统处于极不安全的状态。Nday PocNday Poc2025-08-27T10:57:11https://mp.weixin.qq.com/s/qGu-3fqUsG6q-ZkQmIu7zwSysAid On-Prem 23.3.40及更早版本存在一项未授权XML外部实体注入漏洞（XXE），该漏洞位于服务器URL处理模块中。攻击者可利用此漏洞实施管理员账户接管，并获取系统文件读取权限。Nday PocNday Poc2025-08-26T14:45:15https://mp.weixin.qq.com/s/hxWe2mRV8yNuYaWIXZj4Vg当使用 Druid 管理代理时，可以使用具有特制 URL 的请求将请求重定向到任意服务器。Nday PocNday Poc2025-08-26T10:44:45https://mp.weixin.qq.com/s/MoOGA-IF3C3Ed6tfvsS8Ew智慧校园(安校易)管理系统 PPlugList.ashx 接口处存在SQL注入漏洞，未经身份验证的远程攻击者可利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令，从而控制服务器。经过分析与研判，该漏洞利用难度低，建议尽快修复Nday PocNday Poc2025-08-21T14:05:34https://mp.weixin.qq.com/s/RfMm8Q8ZgSVLhZc46oZA7gKEDACOM phoenix监控平台 upload_fcgi 存在任意文件上传漏洞，未经身份验证远程攻击者可利用该漏洞代码执行，写入WebShell,进一步控制服务器权限。Nday PocNday Poc2025-08-20T10:00:55https://mp.weixin.qq.com/s/FMZUrpivjiK5_fEoo50qYwPagerMaid-Pyro后台管理系统 run_sh 存在远程命令执行漏洞。攻击者可以通过漏洞执行任意命令从而获取服务器权限，可能导致内网进一步被攻击。Nday PocNday Poc2025-08-19T11:06:23https://mp.weixin.qq.com/s/GVhlTjp9G7EZSxlYTFbN7w欧澳PicHome textviewer 存在任意文件读取漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。Nday PocNday Poc2025-08-19T10:17:56https://mp.weixin.qq.com/s/THJafWoAhbObgoijcYGCRw锐捷EWEB路由器 dhcp.php 任意文件读取漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。Nday PocNday Poc2025-08-18T11:15:29https://mp.weixin.qq.com/s/e3U4fam2WTNChsj3WuJ3uA西部数据 remoteBackups.php 存在远程命令执行漏洞。攻击者可以通过漏洞执行任意命令从而获取服务器权限，可能导致内网进一步被攻击。Nday PocNday Poc2025-08-18T10:14:36https://mp.weixin.qq.com/s/zmF4UnrAwViUVIDQDZ82pg正阳天下水控系统 OperAdd.aspx存在未授权访问漏洞，攻击者可利用漏洞获取添加用户登录系统。Nday PocNday Poc2025-08-15T10:18:24https://mp.weixin.qq.com/s/ryGbi2ETOmhmNkgdQXwiSg科立讯通信指挥调度管理平台 feedback 存在远程命令执行漏洞。攻击者可以通过漏洞执行任意命令从而获取服务器权限，可能导致内网进一步被攻击。Nday PocNday Poc2025-08-14T11:12:09https://mp.weixin.qq.com/s/aMVl8bYR8DUU4Dt20sz-2A月子会所ERP管理云平台 BindRoomListData.ashx 接口处存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-08-13T14:43:24https://mp.weixin.qq.com/s/KAoN4xOubT3mHQyTpbNRtw数夫CRM客户关系管理系统 xa0file_download.ashx 接口存在任意文件读取漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。Nday PocNday Poc2025-08-13T10:58:10https://mp.weixin.qq.com/s/0X6xF6QQ5lPhUp68JPDODQ金和OA JC6 ActionDataSet 接口处存在XML实体注入漏洞，攻击者可利用xxe漏洞获取服务器敏感数据，可读取任意文件以及ssrf攻击，存在一定的安全隐患。Nday PocNday Poc2025-08-12T16:46:36https://mp.weixin.qq.com/s/ltA_nh_G6-ZoILWgYuzClg汉王e脸通综合管理平台 uploadMapFile.do 接口存在文件上传漏洞，未经身份攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。Nday PocNday Poc2025-08-12T10:30:24https://mp.weixin.qq.com/s/xsa5Q24LcP890hASpDQwDg锐捷EWEB路由器 timeout.php 任意文件读取漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。Nday PocNday Poc2025-08-11T11:14:22https://mp.weixin.qq.com/s/_cfASRns0zGgGsYGyoYfCQ锐捷EWEB路由器 control.php 存在远程命令执行漏洞。攻击者可以通过漏洞执行任意命令从而获取服务器权限，可能导致内网进一步被攻击。Nday PocNday Poc2025-08-11T10:19:09https://mp.weixin.qq.com/s/WNx1Cmd0_d3HvoKJeNXN5A锐捷EWEB路由器 fileupload.php 存在任意文件上传漏洞，未经身份验证远程攻击者可利用该漏洞代码执行，写入WebShell,进一步控制服务器权限。Nday PocNday Poc2025-08-08T14:23:29https://mp.weixin.qq.com/s/HATfffpwropBHId6Ztc55w漏洞都是由于Ivanti Endpoint Manager Mobile的API组件未能正确验证输入的数据而造成的漏洞。攻击者可以利用这个漏洞绕过身份认证，并通过受影响的API执行任何代码，对系统安全造成严重损害Nday PocNday Poc2025-08-07T14:51:16https://mp.weixin.qq.com/s/iogF0sRICVI38BJkKTf1sA漏洞通过 Perl Web 应用程序进行利用服务端未对用户输入做严格过滤的缺陷执行任意命令或获取敏感数据，可导致服务器文件读取、远程代码执行（RCE）等高危风险。Nday PocNday Poc2025-08-06T15:08:14https://mp.weixin.qq.com/s/59jC-6Bw_1lx28ALmq5dPAMicrosoft SharePointServer 存在远程命令执行漏洞。攻击者可以通过漏洞执行任意命令从而获取服务器权限，可能导致内网进一步被攻击。Nday PocNday Poc2025-08-06T14:15:39https://mp.weixin.qq.com/s/-LGfEx-aq9OMuZ_A1M3S-Q灵当CRM Playforrecord.php 接口存在任意文件读取漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。Nday PocNday Poc2025-08-05T15:05:40https://mp.weixin.qq.com/s/7oPUQt9q3lYJMO3tykxM0Q华测监测预警系统2.2 sysGroupEdit.aspxxa0接口存在SQL注入漏洞，未经身份验证的攻击者通过漏洞执行任意SQL语句，调用xpcmdshell写入后门文件，执行任意代码，从而获取到服务器权限。Nday PocNday Poc2025-08-05T10:58:47https://mp.weixin.qq.com/s/4Cx8kvkENSf8pfxeF9UZ0Q润申信息企业标准化管理系统xa0PdcaUserStdListHandler.ashxxa0接口存在SQL注入漏洞，未经身份验证的攻击者通过漏洞执行任意SQL语句，调用xpcmdshell写入后门文件，执行任意代码，从而获取到服务器权限。Nday PocNday Poc2025-08-05T09:51:51https://mp.weixin.qq.com/s/KpztxJiSx18XDTl7KvH_IA润申信息企业标准化管理系统 AllTableHandler.ashxxa0接口存在SQL注入漏洞，未经身份验证的攻击者通过漏洞执行任意SQL语句，调用xpcmdshell写入后门文件，执行任意代码，从而获取到服务器权限。Nday PocNday Poc2025-08-01T16:28:59https://mp.weixin.qq.com/s/VNHQokszm6jrXTJCWG_Rsw用友U8 CRM checkselectworksheet.php 接口存在SQL注入漏洞，未经身份验证的攻击者通过漏洞执行任意SQL语句，调用xpcmdshell写入后门文件，执行任意代码，从而获取到服务器权限。Nday PocNday Poc2025-07-31T16:09:49https://mp.weixin.qq.com/s/MKUa8D0jRL3qKLMVAhEY3w远程代码执行允许远程攻击者通过精心设计的有效负载到 /v1/tools/run 端点执行任意 Python 代码和系统命令，绕过预期的沙箱限制Nday PocNday Poc2025-07-30T16:12:07https://mp.weixin.qq.com/s/ALea99sSLEOcmFyZl5vdZA文档渲染模块采用了不安全的动态模板编译方式。当系统解析 Markdown 文档时，会直接通过 renderBlade()方法处理文档内容，而未对用户可控内容中的 Blade 模板指令（如 {{ }}、{!! !!}）进行过滤或转义Nday PocNday Poc2025-07-29T21:15:26https://mp.weixin.qq.com/s/vcegKKPyw1OUCe4YxYO4EQ源于服务器中某些特定api未做权限控制导致泄漏多条内部欧服务器中接口，从而实现未授权访问Nday PocNday Poc2025-07-29T10:27:43https://mp.weixin.qq.com/s/sTSj5naBuBG1f6mOgqmWYg天锐绿盾审批系统 sysadmin 存在信息泄露漏洞，未经身份验证的远程攻击者可利用此漏洞获取后台账号密码等敏感信息，从而登录后台，使系统处于极不安全的状态。Nday PocNday Poc2025-07-28T10:47:27https://mp.weixin.qq.com/s/5G4RKgzu3nAPsmYpYmXJ1A汉王e脸通综合管理平台 queryBlackList.do 接口存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-07-28T09:59:40https://mp.weixin.qq.com/s/OySt9IKEaw-XzitdENZclA汉王e脸通综合管理平台 queryDoorInfoList.do 接口存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-07-25T20:27:28https://mp.weixin.qq.com/s/dicjMbIon5B2Osl-N2CBOw汉王e脸通综合管理平台 uploadBlackListFile.do 接口存在文件上传漏洞，未经身份攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。Nday PocNday Poc2025-07-24T10:49:19https://mp.weixin.qq.com/s/CTqp7-JArW2OpOTUHQLRxQ上海网仕科技 Transcoder MS index.php 接口存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-07-23T20:59:10https://mp.weixin.qq.com/s/7xlFKhFfEbFuFcS712v21Q维达外贸客户关系管理系统 sendmailview.jsp 接口存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-07-22T21:06:17https://mp.weixin.qq.com/s/kj-DE7ptBPWzu1c6j5i4Yw汉王EFaceGo monadFileUpload.do 接口存在文件上传漏洞，未经身份攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。Nday PocNday Poc2025-07-21T10:56:55https://mp.weixin.qq.com/s/mFJpbHdr7CMglYNOB-Gpiw汉王EFaceGo updateVisitorMapConfig.do 接口存在文件上传漏洞，未经身份攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。Nday PocNday Poc2025-07-19T10:45:49https://mp.weixin.qq.com/s/t_xTEvYKO1Rn6_oSbvWbtQ大华智能物联综合管理平台 icc push 接口存在远程命令执行漏洞，未经身份验证的恶意攻击者可以利用该漏洞远程执行任意命令，获取系统权限。Nday PocNday Poc2025-07-18T15:38:55https://mp.weixin.qq.com/s/mntZUqtHKk_AYB4xV5XKrQads-pro插件在 4.89 及以下版本中存在本地文件包含漏洞，该漏洞通过“bsa_preview_callback”函数的“bsa_template”参数实现。攻击者可以利用该漏洞在服务器上包含并执行任意文件。Nday PocNday Poc2025-07-17T10:26:17https://mp.weixin.qq.com/s/WRKovzzwiPTQ56AYaDJtYw金蝶云星空 DynamicFormService.CloseForm.common.kdsvc 接口处存在远程代码执行漏洞,未经身份验证的远程攻击者可利用此漏洞执行任意系统命令，写入后门文件，获取服务器权限。Nday PocNday Poc2025-07-16T09:57:34https://mp.weixin.qq.com/s/ZmqN_DRkCYxOP_SOIjWQWw金蝶云星空xa0 AppDesignerService.RecordCurDevCodeInfo.common.kdsvc接口处存在远程代码执行漏洞,未经身份验证的远程攻击者可利用此漏洞执行任意系统命令，写入后门文件，获取服务器权限。Nday PocNday Poc2025-07-15T10:38:43https://mp.weixin.qq.com/s/XrsUqG8jAQpEDjDR2XpIfQ金蝶云星空 DevReportService.GetBusinessobjectData.common.kdsvc 接口处存在远程代码执行漏洞,未经身份验证的远程攻击者可利用此漏洞执行任意系统命令，写入后门文件，获取服务器权限。Nday PocNday Poc2025-07-14T20:47:59https://mp.weixin.qq.com/s/jBBcTW0Hgpr-nddFGBdREw金蝶云星空InOutDataService.GetImportOutData.common.kdsvcxa0接口处存在远程代码执行漏洞,未经身份验证的远程攻击者可利用此漏洞执行任意系统命令，写入后门文件，获取服务器权限。Nday PocNday Poc2025-07-13T10:12:14https://mp.weixin.qq.com/s/EQlPoUHFm647GN2Xc52bEg金蝶云星空UserService.SaveUserPassport.common.kdsvcxa0接口处存在远程代码执行漏洞,未经身份验证的远程攻击者可利用此漏洞执行任意系统命令，写入后门文件，获取服务器权限。Nday PocNday Poc2025-07-13T09:37:20https://mp.weixin.qq.com/s/CMvr1t2FBLmjLVJ6VcE00Q金蝶云星空 BusinessDataService.BatchLoad.common.kdsvc 接口处存在远程代码执行漏洞,未经身份验证的远程攻击者可利用此漏洞执行任意系统命令，写入后门文件，获取服务器权限。Nday PocNday Poc2025-07-12T12:23:29https://mp.weixin.qq.com/s/adG_PYSH0UosqMtx79WLhg锐捷EWEB路由器 ipam.php 接口存在任意文件读取漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。Nday PocNday Poc2025-07-12T09:45:44https://mp.weixin.qq.com/s/DCxBaiuqCXUsnLoDCYNqhA龙采商城系统 auditing 接口存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-07-11T09:52:58https://mp.weixin.qq.com/s/buG96lPHVaK6wuQTO1oNEg金盘移动图书馆图书管理系统 tabShow 存在信息泄露漏洞，未经身份验证的远程攻击者可利用此漏洞获取后台账号密码等敏感信息，从而登录后台，使系统处于极不安全的状态。Nday PocNday Poc2025-07-10T09:57:58https://mp.weixin.qq.com/s/TIsLaXv-aC4IQl_czT4kVA信呼OA uploawAction.php 接口存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-07-09T10:32:20https://mp.weixin.qq.com/s/HiE57ucDvl7mwab3MyKdCw汉王EFaceGo upload.do 接口存在文件上传漏洞，未经身份攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。Nday PocNday Poc2025-07-08T10:36:11https://mp.weixin.qq.com/s/NnHd9L1C7p8icCbCEIhs6A百易云资产管理运营系统 imaRead.make.php 接口存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-07-07T10:17:49https://mp.weixin.qq.com/s/Tc4wH0cP1P-Wr-WbzPTc5w由于JieLink+ 智能终端操作平台 DeleteIpPool接口处未对用户的输入进行过滤和校验，未经身份验证的攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。Nday PocNday Poc2025-07-06T11:11:43https://mp.weixin.qq.com/s/pj5IiQZAy_K1QhhHLuShbw安科瑞环保用电监管云平台 UploadNewsImg 接口存在文件上传漏洞，未经身份攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。Nday PocNday Poc2025-07-06T10:06:38https://mp.weixin.qq.com/s/nLP5coU3ljQRXMoUKfvykQ中科博华网龙网关 arp_scan.php 任意文件读取漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。Nday PocNday Poc2025-07-05T10:32:53