漏洞概況
U8 cloud是X友推出的新一代云ERP����,主要聚焦成長型��、創(chuàng)新型企業(yè)�����,提供企業(yè)級云ERP整體解決方案��。
近日用友官方發(fā)布了數(shù)個U8 Cloud的漏洞補丁更新���,修復了反序列化及文件刪除的漏洞。這些漏洞影響U8 Cloud全版本��,且無需認證直接遠程利用��,攻擊者利用漏洞可刪除服務器任意文件或直接獲取服務器權限��。
影響版本
U8 Cloud全版本
漏洞信息
CacheInvokeServlet接口反序列化漏洞(CVE-2023-33415)
FileTransportServlet接口反序列化漏洞(CVE-2023-35547)
PrintTemplateFileServlet接口任意文件刪除漏洞(CVE-2023-32473)
修復方案
1�、官方修復方案:
官方已經(jīng)發(fā)布安全補丁��,請盡快升級到最新版�����,相關鏈接如下所示:
https://security.yonyou.com/#/patchInfo?foreignKey=dc9efa413a644d88b55403cdc150cfea
https://security.yonyou.com/#/patchInfo?foreignKey=eb893884876e4bc2acd04ee40dc4cb5f
https://security.yonyou.com/#/patchInfo?foreignKey=456abb6ce5544ef4a0065fd3a22c1552
2���、臨時修復方案:
(1)如非必要�����,不將U8 Cloud暴露在公網(wǎng)上
(2)使用ACL網(wǎng)絡策略限制訪問來源
(3)使用防護類設備對相關接口進行防護
該文章在 2024/2/4 12:18:23 編輯過
400 186 1886
