CyberPanel认证绕过及远程命令执行漏洞(CVE-2024-51378)

在 CyberPanel（也称为 Cyber Panel）的 dns/views.py 和 ftp/views.py 中的 getresetstatus 函数，在 1c0c6cb 之前的版本中，允许远程攻击者绕过认证并执行任意命令。攻击者可以通过 /dns/getresetstatus 或 /ftp/getresetstatus 绕过仅适用于 POST 请求的 secMiddleware，并在 statusfile 属性中使用 shell 元字符，正如 PSAUX 在 2024 年 10 月在野外利用的那样。受影响的版本包括 2.3.6 之前的版本以及未修补的 2.3.7 版本。

脸爱云一脸通智慧管理平台 monadFileUpload.do 任意文件上传漏洞

文件上传漏洞发生在应用程序允许用户上传文件的功能中，如果上传功能未能正确地验证和限制上传文件的类型和内容，攻击者可能利用此漏洞上传恶意文件，如包含可执行代码的脚本文件，从而在服务器上执行任意命令，控制或破坏系统。

帆软报表远程命令执行漏洞

远程命令执行漏洞是指攻击者通过构造特定的请求，使得服务器端执行非预期的命令，从而可能导致未授权的数据访问、权限提升、服务中断等严重后果。这种漏洞通常由于应用程序对用户输入的验证不充分或者对外部命令调用缺乏必要的安全控制而产生。

Apache ActiveMQ Jolokia 弱口令漏洞

Apache ActiveMQ是最流行的开源、多协议、基于 Java 的消息代理。它支持行业标准协议，用户可以从多种语言和平台的客户端使用AMQP协议集成多平台应用程序。Apache ActiveMQ管理控制界面存在jolokia 端点，若未修改账号密码，则攻击者可构造调用jolokia相关功能，造成敏感信息泄漏，配合CVE\-2022\-41678甚至可造成远程代码执行。

MindsDB Web 弱口令漏洞

弱口令漏洞指的是系统中使用了简单、容易猜测或常见的密码，导致攻击者可以通过猜测或暴力破解的方式轻易获取账户权限，进而访问或控制受影响的系统资源。这种漏洞通常由于缺乏有效的密码策略或用户对安全意识的忽视造成。