2024-PocLib : Comprehensive Vulnerability And Security Exploit Overview

The 2024-PocLib project serves as a crucial resource for cybersecurity enthusiasts and researchers, offering a detailed compilation of the latest vulnerabilities and security threats identified across various platforms.

This article presents an exhaustive list of exploits and security loopholes, highlighting the importance of staying informed and proactive in the cybersecurity landscape.

From common software vulnerabilities to critical infrastructure exploits, the document aims to foster a deeper understanding and readiness among its readers.

本项目主要目的是为供个人研究存档使用，也能为网络安全爱好者们提供一点参考资料，共勉

漏洞汇总列表

• 2024-8-xray
  • Apache OFBiz 授权不当致远程代码执行漏洞(CVE-2024-38856)
  • Calibre任意文件读取漏洞
  • H3C iMC智能管理中心 login.jsf反序列化导致RCE漏洞
  • Sonatype Nexus Repository 路径穿越漏洞（CVE-2024-4956）
  • 云时空社会化商业ERP系统 user-online 身份认证绕过漏洞
  • 同享TXEHR V15人力管理管理平台strCardNo存在SQL注入漏洞
  • 契约锁电子签章平台 param-edits 远程代码执行漏洞
  • 金斗云 HKMP智慧商业软件 download 任意文件读取漏洞
• 2024-7-xray
  • 3CX Phone SMC 任意文件读取漏洞
  • 3C环境自动监测监控系统 ReadLog 任意文件读取漏洞
  • Bazaar v1.4.3 任意文件读取漏洞
  • ClusterControl v2 存在任意文件读取漏洞
  • Jeecg-Boot loadTableData 远程代码执行漏洞
  • LiveBOS UploadFile.do 任意文件上传漏洞
  • Netgear WN604无线路由器 siteSurvey.php 存在未授权访问漏洞
  • SpringBlade menu-list SQL注入漏洞
  • 企望制造ERP系统 comboxstore 远程命令执行漏洞
  • 华天动力OA downloadWpsFile.jsp 任意文件读取漏洞
  • 华磊科技物流 getOrderTrackingNumberSQL注入漏洞
  • 夏普Sharp 多功能打印机 Cookie泄露致登录绕过漏洞
  • 夏普Sharp 多功能打印机 任意文件读取漏洞
  • 天融信接入网关系统存在弱口令漏洞
  • 天问物业ERP系统 OwnerVacantDownLoad 任意文件读取漏洞
  • 天问物业ERP系统 ParkingFeelFileDownLoad 任意文件读取漏洞
  • 天问物业ERP系统 VacantDiscountDownLoad 任意文件读取漏洞
  • 泛微E-Mobile installOperate.do SSRF漏洞
  • 海康威视-综合安防管理平台 keepAlive 存在 FastJson 反序列化
  • 满客宝智慧食堂系统 selectUserByOrgId 未授权访问漏洞
  • 瑞友天翼应用虚拟化系统 appsave SQL注入漏洞
  • 用友时空KSOA PreviewKPQT SQL注入漏洞
  • 百易云资产管理运营系统 comfileup.php 任意文件上传漏洞
  • 科讯校园一卡通管理系统 dormitoryHealthRanking SQL注入漏洞
  • 科讯校园一卡通管理系统 get_kq_tj_today SQL注入漏洞
  • 管理易 FileUpload 任意文件上传漏洞
  • 联软安渡 UniNXG 安全数据交换系统 任意文件读取漏洞
  • 脸爱云一脸通智慧管理平台 downloads.aspx 信息泄露漏洞
  • 致远OA 前台fileUpload.do绕过文件上传漏洞
  • 金慧综合管理信息系统 LoginBegin.aspx SQL注入漏洞
  • 银达汇智智慧综合管理平台ERP filehandle.aspx 任意文件读取漏洞
• 2024-6-07
  • H3C-CVM-upload接口前台任意文件上传漏洞复现
  • I Doc View 在线文档预览 qJvqhFt.json 任意文件读取漏洞
  • OrangeHRM-viewProjects接口存在SQL注入漏洞
  • 大华DSS城市安防监控平台login_init.action接口存在Struct2-045命令执行漏洞
  • 宏景eHR openFile.jsp 任意文件读取漏洞复现
  • 智邦国际ERP-GetPersonalSealData.ashx存在SQL注入漏洞
  • 泛微OA-E-Cology-Getdata.jsp存在SQL注入漏洞
  • 泛微OA-E-Cology-ResourceServlet接口任意文件读取漏洞
  • 泛微OA-E-cology8-SptmForPortalThumbnail.jsp任意文件读取漏洞
  • 泛微OA-E-Mobile移动管理平台lang2sql任意文件上传漏洞
  • 用友NC pagesServlet SQL注入致RCE漏洞
  • 迈普 多业务融合网关 send_order.cgi 前台RCE漏洞
  • 金蝶云星空UserService反序列化漏洞
  • 锐捷校园网自助服务系统 login_judge.jsf 任意文件读取漏洞复现(XVE-2024-2116)
• 2024-5-11
  • 2024用友POC
    • 用友FE协作办公平台 templateOfTaohong_manager.jsp 目录遍历漏洞
    • 用友GRP A++Cloud 政府财务云的download接口任意文件读取
    • 用友GRP-U8内控管理软件-logs日志泄漏漏洞
    • 用友GRP-U8内控管理软件-obr_zdybxd_check.jsp存在SQL注入漏洞
    • 用友GRP-U8内控管理软件-sqcxIndex.jsp-SQL注入漏洞
    • 用友GRP-U8内控管理软件ListSelectDialogServlet存在SQL注入漏洞
    • 用友GRP-U8内控管理软件operOriztion存在SQL注入漏洞
    • 用友GRP-U8内控管理软件Proxy接口存在SQL注入漏洞
    • 用友GRP-U8内控管理软件services的userInfoWeb存在SQL注入漏洞
    • 用友GRP-U8内控管理软件ufgovbank 存在XML实体注入漏洞
    • 用友GRP-U8内控管理软件UploadFileData存在任意文件上传漏洞
    • 用友GRP-U8内控管理软件存在SQL（u8qx-slbmbygr.jsp）注入漏洞
    • 用友NC mp-uploadControl存在文件上传漏洞
    • 用友NC PaWfm2接口SQL注入漏洞 未完成
    • 用友NC PaWfm接口SQL注入漏洞
    • 用友NC saveDoc.ajax 存在任意文件上传漏洞
    • 用友NC workflowService接口的sql注入漏洞
    • 用友NC-avatar接口存在文件上传漏洞
    • 用友NC-down-billSQL注入漏洞
    • 用友NC-runStateServlet 接口sql注入漏洞
    • 用友NCCloud_importhttpscer接口存在任意文件上传漏洞
    • 用友NCCloud_runScript存在SQL注入漏洞
    • 用友NC_saveImageServlet接口存在文件上传漏洞
    • 用友NC及NC Cloud系统的ActionServlet的sql注入漏洞
    • 用友NC及NC Cloud系统的wsncapplet.jsp信息泄漏漏洞
    • 用友U8cloud系统ExportUfoFormatAction接口存在SQL注入漏洞
  • kkFileView 任意文件上传致远程代码执行漏洞（国产）√
  • WordPress Bricks Builder 主题插件代码执行漏洞（CVE-2024-25600）
  • WordPress WP-Recall 插件 = 16.26.5 – SQL 注入漏洞 (CVE-2024-32709) √
  • ZenTao PMS 项目管理系统身份认证绕过漏洞2024-04-25√