漏洞通告 | 用友U8cloud SQL注入漏洞
漏洞概况
用友U8cloud是用友推出的新一代云ERP,专注于成长型、创新型企业,提供企业级云ERP整体解决方案,支持多组织业务协同、营销创新、智能财务、人力服务等功能。
近日,微步漏洞团队监控到用友 U8cloud 发布安全补丁,修复了两处SQL注入漏洞,上述两个漏洞均已复现,经过分析,攻击者可在未授权情况下利用漏洞获取数据库敏感信息,建议受影响的用户持续关注。
漏洞处置优先级(VPT)
综合处置优先级:中
漏洞编号
微步编号
XVE-2024-4626
漏洞评估
危害评级
中危
漏洞类型
SQL注入
公开程度
PoC未公开
利用条件
无权限要求
交互要求
0-click
威胁类型
远程
利用情报
微步已捕获攻击行为
暂无
综合处置优先级:中
漏洞编号
微步编号
XVE-2024-4628
漏洞评估
危害评级
中危
漏洞类型
SQL注入
公开程度
PoC未公开
利用条件
无权限要求
交互要求
0-click
威胁类型
远程
利用情报
微步已捕获攻击行为
暂无
漏洞影响范围
产品名称
用友U8cloud
受影响版本
1.0 ≤ version ≤ 5.0sp
影响范围
千级
有无修复补丁
有
前往X情报社区资产测绘查看影响资产详情:https://x.threatbook.com/v5/survey?q=app%3D"Yonyou-U8-cloud"
漏洞复现
[*]XVE-2024-4628
[*]
XVE-2024-4626
修复方案
官方修复方案:厂商已发布漏洞补丁程序,请前往以下链接进行更新
[*]XVE-2024-4626
https://security.yonyou.com/#/patchInfo?identifier=1570e29028a24472a18ee5b29436276f
[*]XVE-2024-4628
https://security.yonyou.com/#/patchInfo?identifier=664002b12b284c468f231e3723230e84
页:
[1]