文章总结： 本文档介绍DudeSuite渗透测试工具的功能，并发布2026年1月4日漏洞播报列表。列表涵盖Zimbra、Kibana、金和OA等系统的任意文件读取、SQL注入、命令执行等高危漏洞POC。文档旨在推广该工具并提醒安全人员关注最新安全动态。 综合评分： 60 文章分类： 产品介绍,漏洞预警,漏洞POC

DudeSuite 20260104 漏洞播报，全网漏洞早知道

0x00

星羽安全

2026年1月4日 12:49 广东

DudeSuite Web Security Tools 渗透测试工具，专为执行网络安全保障任务量身定制，这是一款轻量一体化的单兵渗透利器，集合了重放与爆破、漏洞验证、端口扫描、流量劫持与远程管理等常用功能，并内置编码解码、域名爆破、JWT/SQL注入辅助等实用插件。尤其实用的是：漏洞      更新及时、抓包（包括微信小程序）流程极其顺手，能显著降低工具组合与调试的门槛。

     【高级认证授权】漏洞超前获取：在应急响应和攻防演练中，时间就是一切。通过独立更新通道，你能比普通用户优先获取最新漏洞POC，真正做到洞见先机，抢先验证。海量且持续更新的漏洞库：覆盖OA、安全设备、IoT、工控等主流资产。

      【工具下载】https://dudesuite.cn

| | | | — | — | | 任意读写 | 天地伟业Easy7   downloadFile 任意文件读取漏洞 | | 数据注入 | 天地伟业Easy7 getAuthorityByUserId SQL注入 | | 任意读写 | Zimbra Collaboration 本地文件包含漏洞 | | 未授权 | Kibana 未授权访问漏洞 CVE-2025-68645 | | 命令执行 | 腾达路由器 BehaviorManager 命令注入 | | 数据注入 | 孚盟云CRM AjaxCustomerList.ashx SQL注入 | | 数据注入 | 金和OA CompanyBudgetCollectEdit SQL注入 | | 数据注入 | 金和OA AjaxForCompanyCollect.ashx SQL注入 | | 任意读写 | NPF快速开发平台 userAvatar 任意文件文件读取漏洞 | | 命令执行 | Allsky IP摄像头 execute 路径穿越导致命令注入漏洞 | | 数据注入 | 九佳易服装管理系统 PrivilegedCodeDestroy.asmx SQL注入 | | 信息泄露 | iDS联网数字标牌管理系统 services 信息泄露漏洞 | | 数据注入 | 金和OA C6 BudgetDecomposeEdit.aspx SQL注入 | | 数据注入 | 金和OA C6 AjaxForCenterBudgetDecompose.ashx SQL注入 | | 文件上传 | DSMall 开源多用户商城系统get_url_contents 远程文件包含漏洞 | | 信息泄露 | 紫光电子档案管理系统 public 目录遍历漏洞 | | 数据注入 | SeaCMS dmplayer SQL注入 CVE-2025-15002 |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：星羽安全 0x00《DudeSuite 20260104 漏洞播报，全网漏洞早知道》