2021的HW已经开始，在这期间会有许多的漏洞被披露出来，在本文将进行持续更新。

　　CVE-2021-21402JellyFin任意文件读取

　　JellyFin的Windows端服务器不会对特定路径进行鉴权，可以导致攻击者利用Windows上的路径穿越来读取Windows服务器上的任意文件。本漏洞于2021年3月28日在最近版本的10.7.1中被修复。

　　以下是漏洞复现结果。

　　http:///Audio/anything/hls/<文件路径>/stream.mp3/

　　帆软getshellFineReportV9任意命令执行

　　近日在网络上流传帆软的FineReport存在未认证的命令执行漏洞，经过官方的核实及测试，发现本漏洞并非0day，并不影响v10.0的版本。官方厂商已在去年发布相关修复。

　　https://forum.butian.net/share/57

　　和信创天云桌面命令执行

　　由于服务端不会对上传的文件进行类型审查和权限审查，导致任意攻击者可以上传文件，严重可导致远程命令执行。

　　首先通过Upload/upload_file.php上传文件，上传后的文件可以在l参数的目录下找到。例如上图的请求，上传后的文件会被保存到Upload/1/asd.php。

　　例如上图的请求，上传后的文件会被保存到Upload/1/asd.php。

　　默安蜜罐管理平台未授权问漏洞

　　由于蜜罐管理平台鉴权不完善，可导致攻击者在未授权的情况下访问管理页面。默安官方发表通告并表示幻阵管理平台存在于内网网址，攻击者难以进行访问，且尽管可以访问也只能让幻阵执行ping指令，不会造成任何安全隐患。

　　https://mp.weixin.qq.com/s/LV460_N1-EsQUM8YhM5nuw

　　在Web登录界面且未登录的情况下会显示提示信息，并且会涉及用户组织，功能模块授权过期时间等。天擎官方发表声明并表示Web接口为正常接口，不存在漏洞。参考:https://forum.butian.net/share/58

　　可以让攻击者泄露服务端数据库，同时由于安装服务的用户极有可能拥有root权限，所以也可以进行webshell写入并达成命令执行。但本漏洞是内部一直问题，并且在2020年护网前的版本已经修复。

　　https:///api/dp/rptsvcsyncpoint?ccid=1&39;&39;<目标文件写入路径>';droptableO;--

　　本段PoC将首先创建新的数据库表，后将数据库内容更名为webshell的目标名，最后删除表清理痕迹。

　　致远OA-ajax.do上传文件漏洞

　　http:///seeyon/thirdpartyController.do.css/..;/ajax.do

　　来测试是否有漏洞，如漏洞存在，则会出现java.lang.NullPointerException:null字样。

　　首先是通过精心构造的请求来获取到管理员的cookie，流出POC如下:

　　targeturl=orgurl+&39;

　　request=SendRequest(targeturl,post)

　　response=request.send()

　　ifresponseandresponse.code==200and&39;instr(response.headers).lower():

　　随后可以通过对目标路径发送POST请求和制作好的压缩文件即可达成文件上传。流出的PoC请求如下:

　　POST/seeyon/autoinstall.do.css/..;/ajax.do?method=ajaxAction&managerName=formulaManager&requestCompress=gzipHTTP/1.1

　　Cache-Control:max-age=0

　　Upgrade-Insecure-Requests:1

　　User-Agent:Opera/9.80(Macintosh;IntelMacOSX10.6.8;U;fr)Presto/2.9.168Version/11.52

　　Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9

　　Sec-Fetch-Mode:navigate

　　Sec-Fetch-Dest:document

　　Accept-Encoding:gzip,deflate

　　Accept-Language:zh-CN,zh;q=0.9

　　loginPageURL=;login_locale=zh_CN;

　　Content-Type:application/x-www-form-urlencoded

　　managerMethod=validate&arguments=<请求数据>

　　若服务器没有返回“被迫下线”等字样，则证明上传成功。

　　https://planet.vulbox.com/detail/412

　　攻击者在通过恶意链接可以让WPS的内置浏览器进行沙箱逃逸和并令执行。请勿下载打开来路不明的WPS文件。

　　https://planet.vulbox.com/detail/421

　　微软Exchange服务器0day命令执行漏洞

　　攻击者可以通过把Exchange的认证绕过漏洞和权限提升漏洞结合在一起，完成对远程Exchange服务器的远程命令执行。详细信息将后续补充。

　　管理界面可以通过未授权访问，并且在管理界面里更改密码时不会对原密码进行检查，所以攻击者可以通过未授权访问管理界面，并且对管理员账号进行随意更改。

　　DZZOffice远程命令执行

　　由于DzzOffice中一部分代码是抄自Discuz，而Discuz中存在随机数问题。弱随机导致DzzOffice的authkey变量在理论上可以被爆破出来，但实际操作难度较大。获得authkey之后可以利用authkey对上传文件数据进行加密，而后可以向/core/api/wopi/index.php发送POST请求和加密过后的文件数据进行文件上传。上传成功后可以访问上传的文件地址，并执行命令。

　　所有的漏洞都需要至少普通用户的权限。禅道采取了新的路径解析方法，具体解析方式为getModel---<参数名字>=<参数的值>。而攻击者可以利用其中的一些过滤不当的API来进行SQL注入，文件读写最终可达成远程命令执行。

　　首先是SQL注入，在禅道的api-getModel-api-sql-sql端点中，攻击者可以通过向本端点输入任意SQL语句从而达成SQL注入。

　　其次是文件读写，api-getModel-file-parseCSV-fileName可以让攻击者读取任意文件。

　　api-getModel-editor-save-filePath可以让攻击者通过发送POST请求上传任意文件。

　　而在本地运行禅道机器上可以找到相应文件。

　　https://www.jianshu.com/p/62bb128ecbdb

　　https://xz.aliyun.com/t/8066