安全信息
Apache Tomcat 已公开多个漏洞(CVE-2025-55752、CVE-2025-55754、CVE-2025-61795 等)
Apache Tomcat 已公开多个漏洞(CVE-2025-55752、CVE-2025-55754、CVE-2025-61795 等)。 【漏洞影响】 预期影响因漏洞不同而异,但可能受到如下影响。※摘自 JVN 公布的说明 可能被绕过 /WEB-INF/ 或 /META-INF/ 目录等安全限制。如果启用了 PUT 请求,攻击者可能上传恶意文件,从而导致远程代码执行(CVE-2025-55752) 通过特意构造的 URL 访问,可能将 ANSI ...
Apache Tomcat 公布了多个安全漏洞(CVE-2025-49124、CVE-2025-49125)
Apache Tomcat 公布了多个安全漏洞(CVE-2025-49124、CVE-2025-49125) 【漏洞影响】 Windows 版 Tomcat 安装程序在加载 icacls.exe 时可能发生 DLL 旁加载(DLL Sideloading)。(CVE-2025-49124) 如果 PreResources 或 PostResources 被配置在 Web 应用的根目录之外,可能会被用来绕过 Tomcat 的安全约束。(CVE-2025-49125) 【参考资料(外部链接)】 ...
关于Apache Tomcat CGI Servlet中的漏洞(CVE-2025-46701等)
相关产品:SVF、invoiceAgent(本地版)/SPA、Dr.Sum、MotionBoard 在Apache Tomcat的CGI Servlet中,公开了一个与pathInfo的安全约束被绕过的漏洞(CVE-2025-46701等)。 【漏洞影响】 Apache Tomcat的CGI Servlet存在一个由于对大小写处理不当(CWE-178,CVE-2025-46701)导致的漏洞,攻击者可以绕过CGI Servlet映射的URL中pathInfo设置的安全约束。 【参考链接】 ...
关于 WordPress OttoKit 插件的漏洞(CVE-2025-27007 等)
目前已公开 WordPress OttoKit(原名:SureTriggers)插件中存在可导致权限提升的安全漏洞(CVE-2025-27007 等)。 【漏洞影响】 由于权限分配方面存在安全漏洞,攻击者可能会提升其权限。例如,可能未经授权地创建具有管理员权限的新账户。 【参考链接】 NVD(National Vulunerability Database): https://nvd.nist.gov/vuln/detail/CVE-2025-27007 【影响范围】 SVF产品不受该漏洞影响。 ...
Oracle Java 的漏洞信息(CVE-2025-23083 等)
目前已公开多个 Oracle Java 的安全漏洞(例如 CVE-2025-23083 等)。 【漏洞影响】 如果这些漏洞被恶意利用,可能会导致以下问题: 应用程序异常终止;攻击者可能控制计算机;以及其他各种潜在的安全风险。 【参考链接(外部网站)】 NVD(National Vulunerability Database): https://nvd.nist.gov/vuln/detail/CVE-2025-23083 ...
关于 Apache HTTP Server 及 Apache Tomcat 的脆弱性(CVE-2024-38475 / CVE-2025-31650, CVE-2025-31651 等)
目前已公开 Apache HTTP Server 与 Apache Tomcat 的多个安全漏洞(CVE-2024-38475 / CVE-2025-31650, CVE-2025-31651 等)。 【漏洞影响】 CVE-2024-38475:在特定路径下,可能导致脚本被执行,或者源代码被泄露。 CVE-2025-31650:由于对非法的 HTTP Priority 头的错误处理不当,清理操作不完整,可能导致内存泄漏。 ...
关于Java 的 JSSE 安全漏洞(CVE-2025-21587)
该漏洞(CVE-2025-21587)是一个可通过网络(例如 Web 或其他可用协议)利用 Java 的 JSSE(Java 安全套接字扩展)进行攻击的漏洞。 【外部参考网址】 https://nvd.nist.gov/vuln/detail/CVE-2025-21587 影响范围 已由我司开发部门确认,在 SVF 相关产品的程序中,并未使用 JSSE。 因此,该漏洞不会对我们造成影响。
关于WordPress插件“OttoKit”和PHP框架“Yii2”的漏洞(CVE-2025-3102、CVE-2024-58136等)
OttoKit插件和Yii2框架发现了多个安全漏洞。 这些漏洞可能导致远程代码执行、信息泄露或未授权访问,影响使用这些插件和框架的系统安全性。具体漏洞的详细描述和修复方法可以在相应的CVE记录中找到。 【漏洞影响】 CVE-2025-3102:在WordPress插件“OttoKit”中存在认证绕过漏洞。 CVE-2024-58136:在PHP框架“Yii2”中存在不经意实例化类的漏洞,可能导致任意代码执行。 【参考网址】 NVD(National Vulunerability ...
Next.js中间件权限绕过漏洞(CVE-2025-29927)
Next.js 中的不适当的授权漏洞(CVE-2025-29927)已经被公开。 【漏洞影响】 Next.js(基于React的全栈Web框架)存在授权绕过的漏洞。 【外部参考网址】 https://zhuanlan.zhihu.com/p/1889009353564075750 影响范围 SVF产品不受该漏洞影响。 invoiceAgent・SPA产品不受该漏洞影响。 Dr.Sum产品不受该漏洞影响。 MotionBoard产品不受该漏洞影响。
关于多个 Apple 产品中存在的越界写入等漏洞(CVE-2025-24201、CVE-2025-27363 等)
已公开多个 Apple 产品中存在的越界写入等漏洞(CVE-2025-24201、CVE-2025-27363 等)。 【漏洞影响】 Safari、iPadOS、iOS 等多个 Apple 产品存在与越界写入相关的漏洞。 【参考网址】 JVN(Japan Vulnerability Notes) : https://jvndb.jvn.jp/ja/contents/2025/JVNDB-2025-002404.html NVD(National Vulunerability ...
Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)
如果该漏洞被恶意利用,可能会造成以下影响: Apache Tomcat 在 partial PUT(部分 PUT)请求的原始实现中,会基于用户指定的文件名和路径,将路径分隔符替换为“.”后生成临时文件。因此,在特定条件下,可能导致远程代码执行、敏感文件泄露以及内容篡改的风险。(CVE-2025-24813,CWE-44,CWE-502) 外部网址参考 https://blog.csdn.net/qq_36703700/article/details/146248931 影响范围 ...
Apache Tomcat中公开了漏洞(CVE-2024-38286)
【漏洞影响】 如果这些漏洞被利用,可能会导致以下影响: 由于Apache Tomcat中TLS握手处理的缺陷,可能会受到服务拒绝(DoS)攻击。 【参考(外部网站)】 https://wlaq.njupt.edu.cn/2024/0925/c14800a270347/page.htm 影响范围 SVF产品不受该漏洞影响。 invoiceAgent・SPA产品不受该漏洞影响。 关于Dr.Sum产品的影响 影响对象 在以下产品和版本中,如果单独构建了SSL通信环境,可能会受到影响: Dr.Sum ...
Apache Tomcat中公开了多个漏洞(CVE-2024-50379、CVE-2024-54677、CVE-2024-56337等)
【漏洞影响】 如果这些漏洞被利用,可能会导致以下影响: 上传的文件被当作JSP处理,可能导致远程代码执行(CVE-2024-50379、CVE-2024-56337) 可能受到服务拒绝(DoS)攻击(CVE-2024-54677) 【参考(外部网站)】 https://ti.dbappsecurity.com.cn/info/9344 https://ti.dbappsecurity.com.cn/info/9435 影响范围 SVF产品不受该漏洞影响。 ...
关于Spring Framework路径遍历漏洞(CVE-2024-38816)
Spring Framework中的漏洞(CVE-2024-38816等)已被公开。 【漏洞影响】 攻击者可以通过操纵文件或路径的值,进行路径遍历攻击,访问目标文件系统Spring应用程序有权访问的任意文件,从而导致数据泄露。 【参考网址】 https://blog.csdn.net/weixin_40986713/article/details/142938365 影响内容 关于 SVF 产品的影响 由于未使用“Spring Framework”,因此本漏洞不会对我方造成影响。 关于 ...
关于CUPS中的多个漏洞(如CVE-2024-47076等)
CUPS中的多个漏洞(如CVE-2024-47076等)已被公开。 【漏洞影响】 在基于CUPS的打印系统中,可能会被执行任意代码或命令,导致服务中断(DoS)状态。 【参考网址】 https://www.venustech.com.cn/new_type/aqtg/20240927/27926.html 影响内容 关于 SVF 产品的影响 由于未使用“基于CUPS的打印系统”,因此本漏洞不会对我方造成影响。 关于 invoiceAgent・SPA 产品的影响 ...
OpenSSH Server远程代码执行漏洞 (CVE-2024-6387)
漏洞描述 OpenSSH Server中存在一个远程代码执行漏洞(CVE-2024-6387,又被称为regreSSHion),该漏洞影响基于glibc的Linux系统上的OpenSSH Server (sshd)。 漏洞涉及的版本 OpenSSH < 4.4p1(不含已修复CVE-2006-5051和CVE-2008-4109的实例) 8.5p1 <= OpenSSH < 9.8p1 注:OpenBSD系统不受该漏洞影响。 影响范围 关于对SVF产品的影响 ...
JavaScript的库 [ Polyfill.io ]的漏洞(CVE-2024-38526)
漏洞描述 JavaScript的库 [ Polyfill.io ]中混入了恶意软件。 参考网址 https://nvd.nist.gov/vuln/detail/CVE-2024-38526 影响范围 关于对SVF产品的影响 ·所有SVF关联产品不受该漏洞的影响。 关于对invoiceAgent · SPA产品的影响 ·所有SPA关联产品不受该漏洞的影响。 关于对MotionBoard产品的影响 ·所有MotionBoard关联产品不受该漏洞的影响。 关于对Dr.Sum产品的影响 ...
关于PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)
漏洞描述 PHP语言在设计时忽略了Windows系统内部对字符编码转换的Best-Fit特性,当PHP运行在Window平台且使用了如繁体中文(代码页950)、简体中文(代码页936)和日文(代码页932)等语系时,威胁者可构造恶意请求绕过CVE-2012-1823的保护,通过参数注入等攻击手段在目标PHP服务器上远程执行代码。 影响范围 对SVF产品的影响 ·所有SVF关联产品不受该漏洞的影响。 对invoiceAgent(SPA)产品的影响 ·所有SPA关联产品不受该漏洞的影响。 ...
关于Apache Tomcat漏洞(CVE-2024-21733)
产品 SVF invoiceAgent(原SPA) Dr.Sum MotionBoard 内容 Apache Tomcat 中发现信息泄露漏洞(CVE-2024-21733)。由于coyote/http11/Http11InputBuffer.java中在抛出CloseNowException异常后没有重置缓冲区位置和限制,威胁者可发送不完整的POST请求触发错误响应,从而可能导致获取其他用户先前请求的数据。 影响范围 Apache Tomcat 9.0.0-M11 至 9.0.43 ...
关于APACHE STRUTS 2 远程代码执行漏洞 (CVE-2023-50164)通告
内容(详细) Apache Struts2官方更新了一个存在于Apache Struts2中的远程代码执行漏洞(CVE-2023-50164)。该漏洞源于文件上传逻辑有缺陷,攻击者可以操纵文件上传参数来启用路径遍历,在某些情况下,这可能会导致上传可用于执行远程代码执行的恶意文件。 该漏洞已在Struts 2.5.33、Struts 6.3.0.2版本中修复。 参考地址: https://cwiki.apache.org/confluence/display/WW/S2-066 ...
关于Apache Tomcat漏洞(CVE-2023-46589)
产品:SVF、invoiceAgent(旧SPA)、Dr.Sum、MotionBoard 内容 Apache Tomcat 包含一个请求走私漏洞 (CVE-2023-46589)。由于Tomcat未能正确解析HTTP Trailer标头,超出标头大小限制的特制Trailer标头可能会导致 Tomcat 将单个请求视为多个请求,从而可能导致在反向代理之后出现请求走私。成功利用该漏洞可能导致绕过安全控制,未经授权访问敏感数据等。 【受漏洞影响的Tomcat版本】 Apache Tomcat ...
关于 Apache Tomcat 漏洞(CVE-2023-45648、CVE-2023-44487、CVE-2023-42795、CVE-2023-42794 )
产品: SVF、invoiceAgent(本地版)/SPA、Dr.Sum、MotionBoard 内容 Apache Software Foundation 提供的 Apache Tomcat 中发现了多个漏洞。 HTTP Trailer header不能正常解析的问题 - CVE-2023-45648 Tomcat HTTP/2 快速重置攻击拒绝服务漏洞 - CVE-2023-44487 Tomcat信息泄露漏洞 - CVE-2023-42795 Apache Tomcat拒绝服务漏洞 - ...
Apache Tomcat Apache Commons FileUpload 拒绝服务 (DoS) 漏洞(CVE-2023-24998 等)
相关机构披露了 Apache Tomcat 中的漏洞。 参考资料(外部网站): Apache Commons FileUpload 拒绝服务漏洞(CVE-2023-24998) 产品 · SVF · invoiceAgent(SPA) · MotionBoard · Dr.Sum(Dr.Sum EA) SVF产品的影响 影响范围: · SVF 10.x:版本 10.0 至 10.2 · SVF 9.2:无 SP 到 SP10 应对方针: · 如果您在属性文件 ...
Oracle Java漏洞对策(CVE-2023-21835等)
Oracle 公布与 Java SE 相关的漏洞。(CVE-2023-21835 等) 参考资料(Oracle官网): https://www.oracle.com/security-alerts/cpujan2023.html 产品 · SVF · invoiceAgent(SPA) · MotionBoard · Dr.Sum(Dr.Sum EA) 关于对SVF产品的影响 ·所有SVF关联产品不受该漏洞的影响。 关于对invoiceAgent(SPA)产品的影响 ...
关于Apache HTTP Server的漏洞(CVE-2006-20001、 CVE-2022-36760、 CVE-2022-37436等)
关于Apache HTTP Server漏洞(CVE-2006-20001、 CVE-2022-36760、 CVE-2022-37436)的公开。 参考地址: Apache HTTP Server 2.4 vulnerabilities 产品 · SVF · invoiceAgent(SPA) · MotionBoard · Dr.Sum(Dr.Sum EA) 关于对SVF产品的影响 ·所有SVF关联产品不受该漏洞的影响。 关于对invoiceAgent(SPA)产品的影响 ...
关于Apache Tomcat 漏洞(CVE-2022-42252 等)
相关产品 产品类型 产品名称 版本 SVF SVF Web Designer 9.2~10.2 SVF Java Products 相关 9.0~10.2 Report Director Enterprise Universal Connect/X invoceAgent(旧:SPA) invoiceAgent Documents SPA(旧:SVF PDF Archiver) 9.3 ~10.8.0 Dr.Sum(旧:Dr.Sum EA) Dr.Sum Server Excel ...
OpenSSL 中的多个漏洞(CVE-2022-3602、CVE-2022-3786 等)
产品 · SVF · invoiceAgent (旧SPA) · MotionBoard · Dr.Sum OpenSSL 官方发布安全通告,公布两个安全漏洞,编号 CVE-2022-3786、CVE-2022-3602。 据官方描述,CVE-2022-3786 和 CVE-2022-3602 均为 OpenSSL 中 X.509 证书验证时存在的缓冲区溢出漏洞。当证书包含特制的恶意电子邮件地址时,可触发缓冲区溢出,进而可导致拒绝服务 (DOS) ...
关于Apache Tomcat 漏洞(CVE-2022-45143等)
产品 · SVF · invoiceAgent (旧SPA) · MotionBoard · Dr.Sum 在 Apache Software Foundation 提供的 Apache Tomcat 中发现了以下漏洞。 JsonErrorReportValve 类由于未对用户可控的类型(type)、消息(message)或描述(description)值进行转义,在 Tomcat 处理用户请求时,如果调用序列中的 Valve ...
SVF/SPA/Dr.Sum/MotionBoard:关于Oracle Java 的漏洞(CVE-2022-21449等)
产品 · SVF · SPA · MotionBoard · Dr.Sum(Dr.Sum EA) 关于对SVF产品的影响 ·所有SVF关联产品不受该漏洞的影响。 关于对SPA产品的影响 ·所有SPA关联产品不受该漏洞的影响。 关于对MotionBoard产品的影响 ·所有MotionBoard关联产品不受该漏洞的影响。 关于对Dr.Sum产品的影响 ·所有Dr.Sum关联产品不受该漏洞的影响。
SVF/SPA/Dr.Sum/MotionBoard:关于Spring Framework的漏洞(CVE-2022-22965)
产品 · SVF · SPA · MotionBoard · Dr.Sum(Dr.Sum EA) 关于对SVF产品的影响 ·所有SVF关联产品不受该漏洞的影响。 关于对SPA产品的影响 ·所有SPA关联产品不受该漏洞的影响。 关于对MotionBoard产品的影响 ·所有MotionBoard关联产品不受该漏洞的影响。 关于对Dr.Sum产品的影响 ·所有Dr.Sum关联产品不受该漏洞的影响。
SVF/SPA/Dr.Sum/MotionBoard:有关Apache Log4j的漏洞(CVE-2021-44228/CVE-2021-45046/CVE-2021-45105)
Apache Log4j是基于Java的开源日志库,它被曝出任何代码都可执行的高危漏洞(CVE-2021-44228/CVE-2021-45046/CVE-2021-45105)。 目前敝司的产品均不受CVE-2021-44228、CVE-2021-45046、CVE-2021-45105的影响。 【出现漏洞的Apache Log4j版本】 ・CVE-2021-44228/CVE-2021-45105 Apache Log4j 2.15.0之前的2系版本 ・CVE-2021-45046 ...
关于 Apache Commons FileUpload 中多个漏洞(CVE-2025-48976、CVE-2025-48988等)
关于 Apache Commons FileUpload 中多个漏洞(CVE-2025-48976、CVE-2025-48988等)的公开说明 · 由于对多部分(multipart)标头的资源分配限制不足,可能导致服务拒绝(DoS)状态(CVE-2025-48976) · 由于资源分配缺乏限制或调整,可能导致服务拒绝(DoS)状态(CVE-2025-48988) 【参考(外部链接)】 IPA(信息处理推进机构) JVN(Japan Vulnerability Notes): ...
关于 Dr.Sum Connect 及 Dr.Sum Connect Cloud 中 XML 外部实体(XXE)漏洞的通知
产品:Dr.Sum、Dr.Sum Cloud 株式会社セゾンテクノロジー于 2025 年 9 月 26 日发布公告,指出 Dr.Sum Connect(DataSpider Servista)部分客户端应用程序存在 XML 外部实体引用(XXE)漏洞。请相关客户确认受影响情况并尽快采取措施。 受影响产品及版本 内部为 DataSpider Servista 4.4 及之前版本 的产品: Dr.Sum Connect 5.6.44 及之前版本 Dr.Sum Connect Cloud 5.6.44 ...