查看: 7587|回复: 0

漏洞通告 | 用友U8cloud SQL注入漏洞

[复制链接]
匿名
匿名  发表于 2024-3-19 21:34:03 |阅读模式

漏洞概况

用友U8cloud是用友推出的新一代云ERP,专注于成长型、创新型企业,提供企业级云ERP整体解决方案,支持多组织业务协同、营销创新、智能财务、人力服务等功能。

近日,微步漏洞团队监控到用友 U8cloud 发布安全补丁,修复了两处SQL注入漏洞,上述两个漏洞均已复现,经过分析,攻击者可在未授权情况下利用漏洞获取数据库敏感信息,建议受影响的用户持续关注。

漏洞处置优先级(VPT)

综合处置优先级:中

漏洞编号

微步编号

XVE-2024-4626

漏洞评估

危害评级

中危

漏洞类型

SQL注入

公开程度

PoC未公开

利用条件

无权限要求

交互要求

0-click

威胁类型

远程

利用情报

微步已捕获攻击行为

暂无


综合处置优先级:中

漏洞编号

微步编号

XVE-2024-4628

漏洞评估

危害评级

中危

漏洞类型

SQL注入

公开程度

PoC未公开

利用条件

无权限要求

交互要求

0-click

威胁类型

远程

利用情报

微步已捕获攻击行为

暂无

漏洞影响范围


产品名称
用友U8cloud

受影响版本
1.0 ≤ version ≤ 5.0sp

影响范围
千级

有无修复补丁


前往X情报社区资产测绘查看影响资产详情:https://x.threatbook.com/v5/survey?q=app%3D"Yonyou-U8-cloud"
qw2.jpg




漏洞复现

  • XVE-2024-4628

qw3.jpg


  • XVE-2024-4626

qw4.jpg

修复方案

官方修复方案:厂商已发布漏洞补丁程序,请前往以下链接进行更新
  • XVE-2024-4626

https://security.yonyou.com/#/patchInfo?identifier=1570e29028a24472a18ee5b29436276f
  • XVE-2024-4628
https://security.yonyou.com/#/patchInfo?identifier=664002b12b284c468f231e3723230e84

qw7.jpg
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

旗下站点

邮箱系统

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

GMT+8, 2024-12-22 01:43 , Processed in 0.020237 second(s), 13 queries , Gzip On, MemCache On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部