0x01 产品简介
用友U8Cloud是用友推出的新一代云ERP,主要针对成长型、创新型企业,提供完整的企业级云ERP解决方案。
0x02 漏洞概述
用友U8云MeasureQueryFrameAction接口包含一个SQL注入漏洞,允许未经身份验证的远程攻击者访问数据库中的信息(包括管理员后台密码、站点用户个人信息等),可能获取数据库中的信息。即使在高层环境下,在权限的情况下,也可以向服务器写入木马,从而获得服务器系统的进一步权限。
0x03 影响范围
1.0、2.0、2.1、2.3、2.5、2.6、2.65、2.7、3.0、3.1、3.2、3.5、3.6、3.6sp、5.0、5.0sp
0x04 复现环境
FOFA:标题==\’U8C\’
0x05 漏洞复现
示范实验
GET /service/~iufo/com.ufida.web.action.ActionServlet?action=nc.ui.iufo.query.measurequery.MeasureQueryFrameAction
以上#用友U8云MeasureQueryFrameAction SQL注入漏洞重复出现相关内容来源于互联网,仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/93928.html