|
| 用友 U8Cloud 未授權(quán)遠(yuǎn)程代碼執(zhí)行漏洞 |
| |
| | | |
| | | |
| | 技術(shù)細(xì)節(jié)狀態(tài) | |
| | | |
用友 U8Cloud 是用友網(wǎng)絡(luò)科技股份有限公司推出的新一代云ERP解決方案��,主要聚焦成長型����、創(chuàng)新型企業(yè),提供企業(yè)級云ERP整體解決方案��。該系統(tǒng)全面支持多組織業(yè)務(wù)協(xié)同���、營銷創(chuàng)新��、智能財(cái)務(wù)�����、人力服務(wù),構(gòu)建產(chǎn)業(yè)鏈制造平臺����,融合用友云服務(wù),實(shí)現(xiàn)企業(yè)互聯(lián)網(wǎng)資源連接、共享���、協(xié)同���。U8Cloud 提供了全面的企業(yè)管理功能,包括財(cái)務(wù)管理���、人力資源管理����、供應(yīng)鏈管理����、采購管理、銷售管理等����,支持多種業(yè)務(wù)模式,適用于不同行業(yè)和企業(yè)規(guī)模的需求��,在中國成長型企業(yè)的數(shù)字化轉(zhuǎn)型中發(fā)揮重要作用�。
近日,360漏洞研究院捕獲到用友 U8Cloud V3.6-V5.1sp 版本存在反序列化漏洞�����,漏洞利用后可造成遠(yuǎn)程代碼執(zhí)行的效果,可在目標(biāo)服務(wù)器上執(zhí)行任意代碼�,獲取系統(tǒng)權(quán)限、竊取企業(yè)敏感數(shù)據(jù)����、篡改業(yè)務(wù)流程、植入持久化后門等���,相當(dāng)于攻擊者獲得了企業(yè)ERP系統(tǒng)的"管理員權(quán)限"���。
360漏洞研究院已復(fù)現(xiàn)用友 U8Cloud 未授權(quán)遠(yuǎn)程代碼執(zhí)行漏洞,通過啟動計(jì)算器的方式進(jìn)行了驗(yàn)證���。
?發(fā)送 payload 數(shù)據(jù)包
用友 U8Cloud 未授權(quán)遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)
用友U8Cloud V3.6版本
用友U8Cloud V3.6sp版本
用友U8Cloud V5.0版本
用友U8Cloud V5.0sp版本
用友U8Cloud V5.1版本
用友U8Cloud V5.1sp版本
用友安全中心已發(fā)布官方安全補(bǔ)丁���,請立即進(jìn)行更新:
1.訪問用友安全中心下載最新安全補(bǔ)丁。
2.按照補(bǔ)丁包中的操作說明文檔完成補(bǔ)丁安裝����。
360安全智能體:支持該漏洞攻擊的智能分析。
360測繪云 Quake:默認(rèn)支持該產(chǎn)品的指紋識別��。
360高級持續(xù)性威脅預(yù)警系統(tǒng):已具備該漏洞的檢測能力�。告警ID為:60129557,建議用戶盡快升級檢測規(guī)則庫�。
360資產(chǎn)與漏洞檢測管理系統(tǒng):預(yù)計(jì) 2025年7月28日發(fā)布規(guī)則更新包,支持該漏洞利用行為的檢測�����。
本地安全大腦:默認(rèn)支持該漏洞的PoC檢測���。
2025年7月22日:360漏洞研究院捕獲到漏洞����。
2025年7月23日:聯(lián)系用友官方修復(fù)漏洞���。
2025年7月25日:官方發(fā)布漏洞修復(fù)補(bǔ)丁����。
2025年7月25日:360漏洞研究院發(fā)布本安全風(fēng)險(xiǎn)通告����。
https://security.yonyou.com/#/patchInfo?identifier=11d1684ea9624f1a81edc85de6762454
閱讀原文:原文鏈接
點(diǎn)晴模切ERP更多信息:http://moqie.clicksun.cn,聯(lián)系電話:4001861886
該文章在 2025/7/26 9:12:51 編輯過
400 186 1886
