1、 必修高危漏洞指南-以专业红队视角深度评估，助力企业安防牢筑以专业红队视角深度评估，助力企业安防牢筑 2024 年 5 月 亚信安全科技股份有限公司-应急响应中心 www.asiainfo- 护航产品互联 安全数字世界 目录目录 1.概述概述.5 2.20242.2024 攻防演练最新必修漏洞攻防演练最新必修漏洞.6 3.20243.2024 攻防演练历史必修漏洞攻防演练历史必修漏洞.8 3.13.1 禅道项目管理系统身份认证绕过漏洞禅道项目管理系统身份认证绕过漏洞.8 3.2 3.2 Primeton EOS Platform jmx 反序列化致远程代码执行漏洞反序列化致远程代码执行漏洞.9

2、 3.3 3.3 IP-guard WebServer 权限绕过漏洞权限绕过漏洞.10 3.4 3.4 泛微泛微 E-Office10 反序列化漏洞反序列化漏洞.11 3.5 3.5 Jenkins 任意文件读取漏洞任意文件读取漏洞.11 3.6 3.6 用友用友 YonBIP ServiceDispatcher 远程代码执行漏洞远程代码执行漏洞.13 3.7 3.7 亿赛通电子文档安全管理系统亿赛通电子文档安全管理系统 远程代码执行漏洞远程代码执行漏洞.13 3.8 3.8 GitLab 任意用户密码重置漏洞任意用户密码重置漏洞.14 3.9 3.9 kkFileView zipslip 远

3、程代码执行漏洞远程代码执行漏洞.15 3.10 3.10 Palo Alto Networks PAN-OS 命令注入漏洞命令注入漏洞.16 3.11 3.11 用友用友 NC registerServlet 反序列化远程代码执行漏洞反序列化远程代码执行漏洞.17 3.12 3.12 亿赛通电子文档安全管理系统亿赛通电子文档安全管理系统 hiddenWatermark/uploadFile 文件上传漏洞文件上传漏洞.18 3.13 3.13 Atlassian Confluence template/aui/text-inline.vm 代码执行漏洞代码执行漏洞.19 3.14 3.14 亿赛

4、通电子文档安全管理系统亿赛通电子文档安全管理系统 AutoSignService1 接口远程代码执行漏洞接口远程代码执行漏洞.20 3.15 3.15 亿赛通电子文档安全管理系统亿赛通电子文档安全管理系统 CDG AuthoriseTempletService1 接口远程代码接口远程代码执行漏洞执行漏洞.21 3.16 3.16 堡塔云堡塔云 WAF get_site_status 路径路径 server_name 参数参数 SQL 注入漏洞注入漏洞.22 3.17 3.17 Weblogic ForeignOpaqueReference 远程代码执行漏洞远程代码执行漏洞（CVE-2024-2

5、0931）.23 3.18 3.18 飞鱼星企业级智能上网行为管理系统飞鱼星企业级智能上网行为管理系统 /send_order.cgi?parameter=operation 命令执行漏洞命令执行漏洞.24 3.19 3.19 畅捷通畅捷通 T+/tplus/UFAQD/InitServerInfo.aspx SQL 注入漏洞注入漏洞.25 3.20 3.20 D-Link NAS/cgi-bin/nas_sharing.cgi 命令执行漏洞命令执行漏洞.26 3.21 3.21 致远互联致远互联 FE/sysform/003/editflow_manager.jsp SQL 注入漏洞注入漏洞

6、.27 3.22 3.22 Jeecg/api/./commonController.do 文件文件 文件上传漏洞文件上传漏洞.28 3.23 3.23 锐捷锐捷 RG-EW1200G/api/sys/login 权限绕过漏洞权限绕过漏洞.28 3.24 3.24 畅捷通畅捷通 T+/tplus/UFAQD/KeyInfoList.aspx SQL 注入漏洞注入漏洞.29 3.25 3.25 Fortinet FortiOS 代码执行漏洞代码执行漏洞.30 3.26 Jeecg jeecgFormDemoController JNDI3.26 Jeecg jeecgFormDemoContro