天锐绿盘 漏洞列表

天锐绿盘 starPermissionFlow.do 反序列化

天锐绿盘云文档安全管理平台中的 `getDsmClientLog`接口存在SQL注入漏洞。该漏洞允许攻击者通过构造恶意的SQL查询参数，直接操控数据库查询语句，从而获取未授权的数据、修改数据库内容或执行其他恶意操作。这种安全隐患可能导致敏感信息泄露和系统安全性下降。为防止SQL注入攻击，建议对输入数据进行严格的验证和参数化查询，以确保数据库操作的安全性。

天锐绿盘云文档安全管理平台存在 FastJson 反序列化漏洞，此漏洞允许攻击者通过发送恶意构造的 JSON数据，触发服务器端的反序列化操作，从而执行任意代码或进行其他恶意行为。这一安全隐患可能导致数据泄露、系统被攻陷或其他严重后果。为防止安全风险，平台应及时修复该漏洞，并强化输入数据的校验和安全防护措施，以保护用户信息和系统的安全。

天锐绿盘云文档安全管理平台中的 `add_announcement.jsp`页面存在跨站脚本（XSS）漏洞，该漏洞允许攻击者通过在公告内容中注入恶意脚本代码，导致用户在访问该页面时执行这些脚本。这可能导致用户信息泄露、会话劫持或其他安全问题。为了保护用户的安全，建议对用户输入进行严格的校验和编码，防止恶意脚本的执行。

文件上传漏洞发生在应用程序允许用户上传文件的功能中，如果上传功能未能正确地验证和限制上传文件的类型和内容，攻击者可能利用此漏洞上传恶意文件，如包含可执行代码的脚本文件，从而在服务器上执行任意命令，控制或破坏系统。

天锐绿盘云文档安全管理平台preview存在FastJson反序列化漏洞，攻击者可利用此漏洞接管服务器权限执行任意命令。

天锐绿盘云文档安全管理平台中的 findForPage接口存在SQL注入漏洞，该漏洞允许攻击者通过构造恶意的SQL查询参数，直接操控数据库查询语句，从而获取未授权的数据、修改数据库内容或执行其他恶意操作。

天锐绿盘云文档安全管理平台中的 findConfigForPage接口存在SQL注入漏洞，该漏洞允许攻击者通过构造恶意的SQL查询参数，直接操控数据库查询语句，从而获取未授权的数据、修改数据库内容或执行其他恶意操作。

厦门天锐科技股份有限公司天锐绿盘云文档安全管理平台uploadFolder存在任意文件上传漏洞，未经授权的攻击者可通过该漏洞获取服务器权限。注意：上传文件地址在根目录，直接访问url+文件名

厦门天锐科技股份有限公司天锐绿盘云文档安全管理平台存在fastjson反序列化漏洞，未经授权的攻击者可通过该漏洞获取服务器权限。