GeoVision 多款产品命令执行漏洞(CVE-2024-11120)

某些EOL GeoVision设备存在操作系统命令注入漏洞。未经身份验证的远程攻击者可以利用这个漏洞在设备上注入并执行任意系统命令。此外，这个漏洞已经被攻击者利用，我们已经收到了相关报告。

Postfix 安全特性绕过漏洞(CVE-2023-51764)

Postfix 到 3.8.4 允许 SMTP 走私，除非配置了 smtpd\_data\_restrictions\=reject\_unauth\_pipelined （或最近版本中存在的某些其他选项）。 远程攻击者可以使用已发布的漏洞利用技术来注入看似源自 Postfix 服务器的电子邮件，从而绕过 SPF 保护机制。 出现这种情况是因为 Postfix 支持 <LF\>.<CR\><LF\> 但其他一些流行的电子邮件服务器不支持。 为了防止攻击变体（始终禁止不带 <CR\> 的 <LF\>），需要不同的解决方案：smtpd\_forbid\_bare\_newline\=yes 选项，Postfix 最低版本为 3.5.23、3.6.13、3.7.9、3.8.4、或 3.9。

朗坤Liems智能企业管理系统远程代码执行漏洞

远程代码执行漏洞是指攻击者通过某些漏洞在服务器上执行任意代码，这通常是由于应用程序对外部输入的验证不足或处理不当造成的。攻击者可以利用这个漏洞上传恶意代码或直接通过HTTP请求发送恶意代码，从而控制服务器，进行包括数据窃取、网站篡改、服务器资源滥用等在内的多种恶意行为。

顺景ERP管理系统 UploadInvtSpBuzPlanFile 任意文件上传漏洞

文件上传漏洞发生在应用程序允许用户上传文件的功能中，如果上传功能未能正确地验证和限制上传文件的类型和内容，攻击者可能利用此漏洞上传恶意文件，如包含可执行代码的脚本文件，从而在服务器上执行任意命令，控制或破坏系统。

顺景ERP GetFile 任意文件读取漏洞

文件读取漏洞是指攻击者通过某种方式获取对系统文件的读取权限，从而访问敏感信息，如配置文件、源代码、用户数据等。这种漏洞通常是由于应用程序未正确实施权限控制或者未对用户输入进行充分过滤和验证导致的。