一、Gogs 远程命令注入风险
Gogs 是一款开源的自托管 Git 服务,帮助用户管理代码仓库,广泛用于个人开发者及团队协作。
1. 风险内容
该漏洞源于之前的修复对符号链接的过滤不当,导致攻击者可通过创建指向.git 目录的符号链接进而重写文件,最终实现远程命令执行。
2. 影响范围
3. 修复建议
联系信息中心获取版本更新链接。
二、帆软 FineReport 前台远程代码执行风险
帆软 FineReport 是一款专业的企业级 Web 报表和数据分析软件。
1. 风险内容
攻击者可通过 export/excel 接口构造 SQL 语句,通过导出文件写入 Webshell,进而获取服务器权限,该漏洞可结合前台获取SessionID 漏洞造成前台远程代码执行。
2. 影响范围
FineReport: version < 11.5.4.1 FineBi: version < 7.0.5, version < 6.1.8
FineDataLink: version < 5.0.4.3, version < 4.2.11.3
3. 修复建议
联系信息中心获取版本更新链接。
三、用友 U9Cloud 远程代码执行风险
用友 U9Cloud 是用友网络面向大型制造企业推出的云 ERP平台,提供供应链管理、生产制造和财务管理等一体化解决方案。
1. 风险内容
该漏洞源于用友U9 Cloud ERP报表接口在处理SOAP数据时,使用了不安全的反序列化函数 BinaryFormatter,攻击者可以利用该接口构造特定的恶意数据包,触发 BinaryFormatter 反序列化,最终实现远程代码执行。
2. 影响范围
U9C 企业版、U9C 标准版、U9V6.6 企业版、U9V6.6 标准版
3. 修复建议
联系信息中心获取版本更新链接。
