推送POC汇总 — 2026年1月多产品多类型vulnerability速递与应急建议

前言本报告面向安全运维人员、应急响应团队和产品安全工程师对近期出现的来自OA / ERP / WMS / CRM / 教育系统 / IoT / 监控平台 / 云平台 / 中间件 / 开源组件等多类型产品的进行归纳与简要分析。本报告不包含攻击细节或 PoC以便安全团队专注于风险识别、暴露面分析、补丁验证与修复优先级决策。请始终遵循厂商发布节奏、负责任披露流程并在测试环境验证后再将补丁推送到生产。详情请看推送地址POC/EXP中心条目按用户提供顺序注所有条目均为高层安全通报风格优先级分为“极高 / 高 / 中 / 低”表示建议处置紧急程度“极高”为需立即隔离/补丁的风险。POC详情参考地址推送地址POC/EXP中心类型分布图2026年1月新增如下详情看推送地址POC/EXP中心金和OAC6 CompanyBudgetCollectEdit存在SQL注入金和OA AjaxForCompanyCollect.ashx 存在SQL注入大华ICC智能物联管理平台 ars_list 存在SQL注入JNPF快速开发平台 userAvatar 存在任意文件文件读取allsky execute存在路径穿越导致命令注入(CVE-2025-63414)宇视科技 setNatConfig存在命令执行畅捷通T LoadTreeNode存在目录遍历华天动力OA getAwokeListData存在SQL注入用友-时空KSOA-chatconfirm存在SQL注入协砼云-Fileopt存在任意文件上传导致RCE污染源在线监控系统AddorEditArea.aspx AreaIndex参数SQL注入九佳易服装管理系统 PrivilegedCodeDestroy.asmx存在SQL注入WayOS路由系统actpt存在信息泄露浙江宇视视频管理系统 VM.php存在命令执行铜哨云用户中心Fileopt存在任意文件上传污染源在线监控系统ConfigPerm存在SQL注入勤杰DHR数智人力资源共享平台 ScanLogin.ashx SQL注入帆软报表前台 export excel 存在SQL注入Laravel LaRecipe renderBlade 末授权代码注入DSMall 开源多用户商城系统get_url_contents存在远程文件包含紫光电子档案管理系统public存在目录遍历英赛特互联网客户服务平台shrz.asp 存在 SQL注入英赛特互联网客户服务平台jctxx.asp jcid 存在 SQL注入东胜物流软件 GetAuthorityRange 存在SQL注入污染源在线监控系统DownLoad.aspx 存在SQL注入污染源在线监控系统AES_B_DDL.ashx 存在SQL注入DLink-DCS-4622 getuser存在信息泄露WayOS路由系统actpt actpt_5g存在信息泄露时尚企业管理系统UpdatePrivilegedState code参数存在SQL注入泛微OA E-Cology sync接口反序列化命令执行帆软报表前台存在SQL远程代码执行美特CRM6 sql.jsp 存在SQQ注入panabit app_handle存在命令注入金和OAC6 CostApplyHandler存在SQL注入恒友摄影ERP findedCustomer.ashx 存在SQL注入JNPF快速开发平台 userAvatar 存在任意文件文件读取汇文软件-书目检索系统 asord_lcc_browse.php 存在SQL注入金和OAC6 CostPerExpendDetail存在SQL注入天锐绿盾审批系统updateScreenshotParameter.do存在反序列化天锐绿盾审批系统updateFileOutSendParameter.do存在反序列化天锐绿盾审批系统updateBehaviorCtrlParams.do存在反序列化天锐绿盾审批系统updateFilePrintParamsD.do存在反序列化金和OAC6 AjaxForDepartmentCollect存在SQL注入金和OA AjaxForGetBudgetTime.ashx 存在SQL注入致远OA checkComponentFile存在反序列化任意命令执行三汇SMG 网关管理软件 8-1-1userAdd.php 存在文件任意用户添加供应商服务厅系统 使用说明.txt 存在信息泄露友加畅捷管理系统 RepFile.ashx 存在文件上传致RCE通天星CMSV6-StandardReportMediaAction_getImage存在任意文件读取普华PMS OfficeService存在任意文件读取孚盟云 AjaxWriteMail.ashx 存在文件上传致RCE若依(RuoYi) 4.8.1 后台SSTI可RCEonlyoffice-dchat存在反射xss美特CRM6 mcc_login存在SQL注入因酷教育平台queryUserById未授权访问安友固定资产管理系统 DoUpload 存在任意文件上传天地伟业Easy7 addGateWayOptLog 存在SQL注入喰星云·数字化餐饮服务系统 home_check 存在SQL注入华天动力OA workFlowService存在SQL注入竹云iam认证系统list存在任意文件读取安友固定资产管理系统DoUpload存在身份绕过殡仪馆管理系统 AshesSearch.jsp 存在信息泄露高格智能制造目视化系统SCCJ参数存在SQL注入Bitrix modules存在日志信息泄露宏景eHR ShowStuffInfo 存在SQL注入时空智友ERP sqlResult存在SQL注入时空智友ERP formservice 存在XML注入React Server Components 远程代码执行(CVE-2025-55182)锐明技术Crocus-DeviceState存在SQL注入ChanCms-search存在SQL注入Xwiki hibernate存在任意文件读取(CVE-2025-55749)WordPress admin-ajax.php存在任意文件读取(CVE-2025-47445)天地伟业Easy7 queryUserbyDesc 存在SQL注入迪博数据决策系统 common_dep.action.jsp存在任意文件读取(CVE-2025-11034)智跃人力资源管理系统zyconfig存在敏感信息泄露汉王e脸通综合管理平台 exportResourceByFilePath.do 存在任意文件读取XWiki Platform 存在任意文件读取 (CVE-2025-55749)恒友摄影ERP login.ashx 存在SQL注入蓝凌EIS智慧协同平台mail_xml存在XXE注入大华ICC智能物联管理平台 viewPDF 任意文件读取锐明技术Crocus系统RepairRecord存在SQL注入迪博数据决策系统downloadImpTemplet存在任意文件读取友加畅捷管理系统GetZTList存在信息泄露智能表综合管理系统 SunReportService.asmx SQL注入点晴MIS管理信息系统 login_out.asp 存在SQL注入华天动力OA travelAjax 存在SQL注入GeoServer GetMap 未授权XXE注入(CVE-2025-58360)朗新天霁人力资源管理系统ZFMCWebService存在SQL注入AstrBot存在命令执行RCE(CVE-2025-55449)时尚企业管理系统Redis未授权访问时尚企业管理系统log.aspx日志页面未授权访问用友NC存在 getAuth 存在SQL注入金和OA XmlHttp.aspx 存在XML外部实体注入管e通零售移动管理系统软件 cwssurvey.asmx 存在SQL注入管e通零售移动管理系统软件 CWSSurveyDef.asmx 存在SQL注入维达外贸客户关系管理系统 UserView.jsp 存在SQL注入WordPress AI Engine插件存在前台管理员越权(CVE-2025-11749)临时缓解与操作清单短期可快速实施2026 年 1 月详情地址及修复建议请参考推送地址POC/EXP中心TOP15结合 2026 年 1 月集中披露的情况本月高危呈现出以下特征RCE / 反序列化 / 文件上传占比高OA / ERP / HR / 报表系统成为主要攻击目标IoT / 视频监控 / 路由设备命令执行与信息泄露风险突出大量 SQL 注入与任意文件读取被自动化扫描利用在官方补丁发布或业务测试完成前建议立即实施以下短期、可落地、可操作的缓解措施以降低被利用风险。时间线1. 资产梳理确定暴露面立即对涉及2026 年 1 月通报的系统进行全面清点与标记重点包括但不限于业务系统类 OA / ERP / HR / CRM / 报表系统 / 档案系统 / 教育与政务系统基础与组件类 Redis、GeoServer、React Server Components、XWiki、WordPress、Laravel设备与平台类 IoT 平台、视频监控系统、路由器、网关设备、云管理平台按暴露位置进行风险分级公网可达 跨网访问 内网关键资产重点锁定以下高危入口管理后台与运维接口文件上传 / 下载接口反序列化、XML、模板渲染接口数据库直连服务、路由与设备管理页面2. 隔离策略短期阻断风险对无法立即修补或补丁尚未验证的系统必须先行实施访问收敛措施管理端口仅允许运维专线或 VPN 访问关闭不必要的公网暴露端口与服务对以下高风险组件必须执行隔离或下线Redis 未授权实例Druid / 报表 / 中间件管理界面路由器、摄像头、IoT 平台 Web 管理端云桌面与远程管理控制台3. 凭据与权限治理立即执行针对本月涉及的OA / 路由器 / Redis / IoT / 运维系统等平台立即开展凭据治理更换所有默认口令、弱口令、历史共享账号启用 MFA、多因素认证、IP 白名单或绑定重点排查是否存在异常新增账户是否出现权限被提升、角色被修改是否存在长期未使用但仍具高权限账号4. 安全规则下发WAF / IDS / EDR结合本月类型分布统一下发以下防护规则以应对高频扫描与自动化利用行为WAF / 网关层SQL 注入 关键字组合、异常长度、特殊符号特征任意文件读取 / 路径遍历 ../、..%2F、绝对路径、路径指针文件上传 可执行脚本、双扩展名、伪造 MIMESSRF 阻断访问127.0.0.1、内网网段、169.254.169.254XXE 检测DOCTYPE、ENTITY等特征EDR / 主机层阻断异常 shell / PowerShell 执行监控并拦截可疑进程启动告警并阻断反向连接与异常端口通信5. 快速回溯与异常排查针对已暴露或高风险系统立即开展7–30 天行为回溯重点检查异常登录、暴力破解、重复失败尝试是否存在越权访问、异常接口调用文件上传目录、Web 根目录是否出现非业务文件Redis / 数据库中是否存在未知 key、表结构或异常数据变更系统中是否出现可疑计划任务、定时脚本、后门程序或反向连接⚠️ 一旦发现可疑行为立即制作系统镜像 → 保全证据 → 隔离节点 → 启动应急响应流程6. 补丁管理与升级计划按风险等级制定修复与升级节奏极高 → 高 → 中RCE / 反序列化 / 认证绕过 / 文件上传类必须优先修补所有补丁须先在测试环境验证后再滚动发布至生产环境避免因直接升级导致业务中断或数据异常7. 厂商沟通与情报跟踪针对本月涉及的厂商与产品建议建立并更新厂商紧急联系人列表如用友、泛微、金和、致远、帆软、天地伟业、宇视、深信服等持续跟踪官方补丁发布时间表与临时缓解措施记录所有涉及的CVE / 影响版本 / 修复状态统一纳入 CMDB 与补丁管理体系合规与披露建议2026 年 1 月1. 对外披露前严格遵循负责任披露流程与厂商确认细节、影响范围与修复计划未获得官方确认或补丁前不对外发布通告对外文档禁止包含 PoC、payload、利用脚本或攻击链细节严重程度分布图2. 面向内部 / 供应链团队通报提供清晰链路受影响资产列表 → 风险等级 → 临时缓解措施 → 修复时间表对高危系统RCE、认证绕过、文件上传 要求业务负责人24 小时内反馈处置进度对供应链厂商、外包与集成商 要求提交修复说明与验证证明材料3. 面向最终客户或监管部门仅披露必要信息 影响版本、风险等级、已采取措施、修复计划禁止披露攻击细节或可执行 exploit完整保留沟通记录、修复记录与验证材料以备审计与合规检查