Anonymous 发表于 2024-3-19 21:34:03

漏洞通告 | 用友U8cloud SQL注入漏洞


漏洞概况

用友U8cloud是用友推出的新一代云ERP,专注于成长型、创新型企业,提供企业级云ERP整体解决方案,支持多组织业务协同、营销创新、智能财务、人力服务等功能。

近日,微步漏洞团队监控到用友 U8cloud 发布安全补丁,修复了两处SQL注入漏洞,上述两个漏洞均已复现,经过分析,攻击者可在未授权情况下利用漏洞获取数据库敏感信息,建议受影响的用户持续关注。

漏洞处置优先级(VPT)

综合处置优先级:中


漏洞编号

微步编号

XVE-2024-4626


漏洞评估

危害评级

中危


漏洞类型

SQL注入


公开程度

PoC未公开


利用条件

无权限要求


交互要求

0-click


威胁类型

远程


利用情报

微步已捕获攻击行为

暂无



综合处置优先级:中

漏洞编号

微步编号

XVE-2024-4628


漏洞评估

危害评级

中危


漏洞类型

SQL注入


公开程度

PoC未公开


利用条件

无权限要求


交互要求

0-click


威胁类型

远程


利用情报

微步已捕获攻击行为

暂无


漏洞影响范围



产品名称
用友U8cloud

受影响版本
1.0 ≤ version ≤ 5.0sp

影响范围
千级

有无修复补丁



前往X情报社区资产测绘查看影响资产详情:https://x.threatbook.com/v5/survey?q=app%3D"Yonyou-U8-cloud"





漏洞复现


[*]XVE-2024-4628




[*]
XVE-2024-4626



修复方案

官方修复方案:厂商已发布漏洞补丁程序,请前往以下链接进行更新
[*]XVE-2024-4626

https://security.yonyou.com/#/patchInfo?identifier=1570e29028a24472a18ee5b29436276f

[*]XVE-2024-4628
https://security.yonyou.com/#/patchInfo?identifier=664002b12b284c468f231e3723230e84

页: [1]
查看完整版本: 漏洞通告 | 用友U8cloud SQL注入漏洞