FOG Project export.php filename 命令注入漏洞

暂无

泛微e-cology WorkflowServiceXml SQL注入漏洞(QVD-2024-26136)

泛微协同管理应用平台（e\-cology）是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。 泛微e\-cology 9 10.64.1之前版本存在存在 远程命令执行漏洞，该漏洞源于未对用户的输入进行有效的过滤，直接将其拼接进了SQL查询语句中，导致系统出现 SQL 注入漏洞 ，攻击者可以通过SQL注入配合数据库功能实现远程任意命令执行，获取服务器权限。

泛微e-cology WorkflowServiceXml SQL注入漏洞

泛微 e\-cology 是泛微公司开发的协同管理应用平台。 泛微 e\-cology v10.64.1在2024\-07\-10补丁之前版本存在SQL注入漏洞，/services/接口默认对内网暴露，用于服务调用，未经身份认证的攻击者可向 /services/WorkflowServiceXml 接口发送恶意的SOAP请求进行SQL注入，获取系统数据并进一步接管系统。

赛蓝企业管理系统 GetExcellTemperature SQL注入漏洞

暂无

Django 自定义Storage子类存在路径遍历漏洞

Django 是Python编写的开源Web应用框架，generate\_filename 方法是 django.core.files.storage.Storage 类中用于生成文件名的方法。 受影响版本中，如果开发者重写 django.core.files.storage.Storage 的 generate\_filename 方法时未对文件名进行校验则会导致路径遍历漏洞。 攻击者可利用该漏洞构造恶意的文件名\(如：../\)，当目标系统调用 save\(\) 方法保存文件时可读取或修改系统上的敏感文件。