用友GRP-U8是一款企业管理软件,专为大型企业提供财务、采购、库存、生产等业务管理解决方案。
近期,用友官方收到一则漏洞情报,及时发布了补丁,成功修复了一个前台SQL注入漏洞。同时用友与长亭科技联合发布了该漏洞风险提示,共同努力确保该漏洞得到及时修复。
长亭全线产品现已支持检测或扫描,可及时获取相关升级支持。应急响应实验室根据漏洞原理编写了无害化的X-POC远程检测工具和牧云本地检测工具,目前已向公众开放下载使用。
该漏洞是由于用友GRP-U8未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。
xpoc -r 409 -t https://xpoc.org
yonyou_grp_u8_sqli_ct_893849_scanner_windows_amd64.exe
通过网络ACL策略限制访问来源,例如只允许来自特定IP地址或地址段的访问请求。
官方已发布升级补丁包,可在官方公告https://security.yonyou.com/#/noticeInfo?id=379中进行下载使用。