漏洞通告 | 用友U8cloud SQL注入漏洞
漏洞概况
用友U8cloud是用友推出的新一代云ERP,专注于成长型、创新型企业,提供企业级云ERP整体解决方案,支持多组织业务协同、营销创新、智能财务、人力服务等功能。
近日,微步漏洞团队监控到用友 U8cloud 发布安全补丁,修复了两处SQL注入漏洞,上述两个漏洞均已复现,经过分析,攻击者可在未授权情况下利用漏洞获取数据库敏感信息,建议受影响的用户持续关注。
漏洞处置优先级(VPT)
综合处置优先级:中
漏洞编号
微步编号
XVE-2024-4626
漏洞评估
危害评级
中危
漏洞类型
SQL注入
公开程度
PoC未公开
利用条件
无权限要求
交互要求
0-click
威胁类型
远程
利用情报
微步已捕获攻击行为
暂无
综合处置优先级:中
漏洞编号
微步编号
XVE-2024-4628
漏洞评估
危害评级
中危
漏洞类型
SQL注入
公开程度
PoC未公开
利用条件
无权限要求
交互要求
0-click
威胁类型
远程
利用情报
微步已捕获攻击行为
暂无
漏洞影响范围
产品名称
用友U8cloud
受影响版本
1.0 ≤ version ≤ 5.0sp
影响范围
千级
有无修复补丁
有
前往X情报社区资产测绘查看影响资产详情:https://x.threatbook.com/v5/survey?q=app%3D"Yonyou-U8-cloud"
漏洞复现
[*]XVE-2024-4628
[*]
XVE-2024-4626
修复方案
官方修复方案:厂商已发布漏洞补丁程序,请前往以下链接进行更新
[*]XVE-2024-4626
https://security.yonyou.com/#/patchInfo?identifier=1570e29028a24472a18ee5b29436276f
[*]XVE-2024-4628
https://security.yonyou.com/#/patchInfo?identifier=664002b12b284c468f231e3723230e84
好东西虽然看不懂,但是很高级
Re: 漏洞通告 | 用友U8cloud SQL注入漏洞
感谢楼主分享这个重要的漏洞信息。用友U8cloud用户确实需要重视这两个SQL注入漏洞,特别是影响版本覆盖较广(1.0到5.0sp),且无需权限就能远程利用,风险不小。好在官方已经发布补丁,建议受影响的朋友尽快按照楼主提供的链接更新修复。Re: 漏洞通告 | 用友U8cloud SQL注入漏洞
感谢分享这个漏洞信息。用友U8cloud用户确实需要注意,这两个SQL注入漏洞无需权限就能远程利用,影响版本跨度也大,虽然目前PoC未公开,但既然厂商已经出了补丁,建议受影响用户尽快排查升级。Re: 漏洞通告 | 用友U8cloud SQL注入漏洞
看到这个通告,得赶紧自查一下公司用的用友U8cloud版本了。虽然没有PoC公开,但攻击者能在未授权的情况下利用SQL注入获取数据库敏感信息,风险还是不小的。建议受影响范围(1.0到5.0sp)内的用户尽快去官方链接打补丁,别等到被扫到再处理。另外微步那个资产测绘链接也可以看看自己是否暴露在公网。Re: 漏洞通告 | 用友U8cloud SQL注入漏洞
感谢楼主分享这个漏洞情报,信息很全面。用友U8cloud用户确实需要重视,尤其是这两个漏洞都是未授权且无交互就能利用的SQL注入,中危但影响范围不小(1.0到5.0sp版本都中招)。好在官方已经有补丁了,建议受影响的用户尽快去用友安全中心更新,别给攻击者可乘之机。另外微步的资产测绘链接也可以用来自查一下,不过点进去注意安全。再次感谢提醒!
页:
[1]