0x01 漏洞预警

网康科技互联网控制网关（ICG）存在任意命令执行漏洞，未经身份验证的攻击者通过构造特制的数据包，远程执行任意命令

启明星辰下一代防火墙日志管理员账户存在任意命令执行漏洞

帆软报表存在反序列化0day漏洞

蓝凌OA存在任意代码执行漏洞，攻击者可利用该漏洞在目标系统执行任意代码

信呼OA存在任意文件上传漏洞，攻击者可通过该漏洞上传恶意文件至服务器，目前已发现在野利用

用友 GRP-U8 财务管理软件存在任意文件上传漏洞，攻击者可利用该漏洞上传恶意文件控制目标服务器。目前已发现在野利用

LDAP Account Manager (LAM) 修复了一个参数注入漏洞。由于LAM会从任意类实例化对象，未经身份验证的远程攻击者通过利用该漏洞，可实现执行任意代码

JGraph drawio-desktop修复了一个本地的任意命令执行漏洞，攻击者可利用该漏洞实现本地命令执行

WebLogic IIOP/T3协议存在远程代码执行0day漏洞

Nginx存在堆栈溢出导致的代码执行0day漏洞

泛微e-office的detail.php页面存在SQL注入漏洞，攻击者利用该漏洞可读取目标系统数据库敏感信息

Apache Shiro 0day漏洞

WPS的PPT模块存在代码执行漏洞，攻击者可通过加载脚本执行任意代码

达梦官方修复了一个数据库管理系统的后台文件上传漏洞（CNVD-2022-19522），攻击者可利用该漏洞上传恶意文件至目标服务器，获取目标服务器的控制权限

WordPress WP_Query 的SQL注入漏洞（CVE-2022-21661），由于 WP_Query 类中存在特定缺陷，未授权的攻击者可构造恶意数据进行SQL 注入，获取目标服务器敏感性信息

敏捷科技-Agile DGS存在多个高危漏洞，攻击者利用漏洞可实现任意用户登录、文件读取、文件上传等恶意行为

0x02 钓鱼提醒