严重

用友U8 Cloud /ServiceDispatcherServlet 反序列化漏洞

披露时间：

2023-09-18

更新时间：

2025-03-24

CT 编号

CT-882436

CVE 编号

N/A

CNVD 编号

N/A

CNNVD 编号

N/A

原理分类

反序列化漏洞

漏洞评分

9.8

漏洞描述

用友U8 Cloud /ServiceDispatcherServlet 接口存在反序列化漏洞

漏洞危害

1、如果被攻击者利用，可直接getshell；
2、如果被攻击者利用，可被用于内网信息收集，扫描目标内网主机；
3、如果被攻击者利用，可攻击运行在内网或本地的应用程序；
4、如果被攻击者利用，可被用作攻击跳板；

检测工具

远程检测工具下载

xpoc -r 407 -t https://xpoc.org

本地检测工具下载

yonyou_nc_service_dispatcher_servlet_ct_882436_scanner_windows_amd64.exe

修复方法

一、临时缓解措施:
在确保业务不受影响的前提下，可暂时拦截对None接口的访问请求。
限制访问来源地址，如非必要，不要将系统开放在互联网上。
二、升级修复方案:
升级产品至最新版本，下载地址：https://u8.yonyou.com/about/about

长亭百川云