Apache Struts2 文件上传漏洞情报 CVE-2024-53677

攻击者可以操纵文件上传参数以启用路径遍历，在某些情况下，这可能导致上传可用于执行远程代码执行的恶意文件。

出租车智能监控调度系统任意文件上传漏洞

文件上传漏洞发生在应用程序允许用户上传文件的功能中，如果上传功能未能正确地验证和限制上传文件的类型和内容，攻击者可能利用此漏洞上传恶意文件，如包含可执行代码的脚本文件，从而在服务器上执行任意命令，控制或破坏系统。

OpenWrt Attended SysUpgrade 命令注入漏洞

OpenWrt 的 Attended SysUpgrade（ASU）服务中存在命令注入漏洞和弱哈希漏洞。该命令注入漏洞源于 Imagebuilder 在构建过程中未能正确处理用户提供的软件包名称，导致攻击者可以将任意命令注入构建过程，生成恶意固件镜像。同时，由于 SHA\-256 哈希被截断至12个字符，降低了哈希的复杂性，增加了哈希碰撞的可能性，使得攻击者可以利用哈希碰撞技术用恶意镜像覆盖合法缓存镜像，从而影响已交付版本的完整性。

帆软 WebReport plugin_logdb JDBC 漏洞

反序列化漏洞主要发生在应用程序未对用户输入的序列化字符串进行充分检查的情况下，攻击者可以通过构造恶意的序列化数据来进行攻击，从而控制应用程序的行为，执行任意代码，访问或修改敏感数据，甚至可能导致整个系统的控制权被攻陷。

MetInfo /app/system/entrance.php 任意文件上传漏洞

文件上传漏洞发生在应用程序允许用户上传文件的功能中，如果上传功能未能正确地验证和限制上传文件的类型和内容，攻击者可能利用此漏洞上传恶意文件，如包含可执行代码的脚本文件，从而在服务器上执行任意命令，控制或破坏系统。