|
| 用友 U8Cloud 未授權(quán)遠(yuǎn)程代碼執(zhí)行漏洞 |
| |
| | | |
| | | |
| | 技術(shù)細(xì)節(jié)狀態(tài) | |
| | | |
用友 U8Cloud 是用友網(wǎng)絡(luò)科技股份有限公司推出的新一代云ERP解決方案����,主要聚焦成長(zhǎng)型���、創(chuàng)新型企業(yè)�,提供企業(yè)級(jí)云ERP整體解決方案�����。該系統(tǒng)全面支持多組織業(yè)務(wù)協(xié)同��、營(yíng)銷(xiāo)創(chuàng)新����、智能財(cái)務(wù)、人力服務(wù)��,構(gòu)建產(chǎn)業(yè)鏈制造平臺(tái)����,融合用友云服務(wù),實(shí)現(xiàn)企業(yè)互聯(lián)網(wǎng)資源連接��、共享��、協(xié)同����。U8Cloud 提供了全面的企業(yè)管理功能��,包括財(cái)務(wù)管理���、人力資源管理、供應(yīng)鏈管理����、采購(gòu)管理、銷(xiāo)售管理等����,支持多種業(yè)務(wù)模式,適用于不同行業(yè)和企業(yè)規(guī)模的需求��,在中國(guó)成長(zhǎng)型企業(yè)的數(shù)字化轉(zhuǎn)型中發(fā)揮重要作用��。
近日�,360漏洞研究院捕獲到用友 U8Cloud V3.6-V5.1sp 版本存在反序列化漏洞��,漏洞利用后可造成遠(yuǎn)程代碼執(zhí)行的效果���,可在目標(biāo)服務(wù)器上執(zhí)行任意代碼����,獲取系統(tǒng)權(quán)限、竊取企業(yè)敏感數(shù)據(jù)���、篡改業(yè)務(wù)流程�、植入持久化后門(mén)等���,相當(dāng)于攻擊者獲得了企業(yè)ERP系統(tǒng)的"管理員權(quán)限"����。
360漏洞研究院已復(fù)現(xiàn)用友 U8Cloud 未授權(quán)遠(yuǎn)程代碼執(zhí)行漏洞�,通過(guò)啟動(dòng)計(jì)算器的方式進(jìn)行了驗(yàn)證。
?發(fā)送 payload 數(shù)據(jù)包
用友 U8Cloud 未授權(quán)遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)
用友U8Cloud V3.6版本
用友U8Cloud V3.6sp版本
用友U8Cloud V5.0版本
用友U8Cloud V5.0sp版本
用友U8Cloud V5.1版本
用友U8Cloud V5.1sp版本
用友安全中心已發(fā)布官方安全補(bǔ)丁�����,請(qǐng)立即進(jìn)行更新:
1.訪問(wèn)用友安全中心下載最新安全補(bǔ)丁���。
2.按照補(bǔ)丁包中的操作說(shuō)明文檔完成補(bǔ)丁安裝���。
360安全智能體:支持該漏洞攻擊的智能分析。
360測(cè)繪云 Quake:默認(rèn)支持該產(chǎn)品的指紋識(shí)別。
360高級(jí)持續(xù)性威脅預(yù)警系統(tǒng):已具備該漏洞的檢測(cè)能力�����。告警ID為:60129557�����,建議用戶(hù)盡快升級(jí)檢測(cè)規(guī)則庫(kù)���。
360資產(chǎn)與漏洞檢測(cè)管理系統(tǒng):預(yù)計(jì) 2025年7月28日發(fā)布規(guī)則更新包�,支持該漏洞利用行為的檢測(cè)。
本地安全大腦:默認(rèn)支持該漏洞的PoC檢測(cè)。
2025年7月22日:360漏洞研究院捕獲到漏洞�。
2025年7月23日:聯(lián)系用友官方修復(fù)漏洞�。
2025年7月25日:官方發(fā)布漏洞修復(fù)補(bǔ)丁���。
2025年7月25日:360漏洞研究院發(fā)布本安全風(fēng)險(xiǎn)通告����。
https://security.yonyou.com/#/patchInfo?identifier=11d1684ea9624f1a81edc85de6762454
閱讀原文:原文鏈接
點(diǎn)晴模切ERP更多信息:http://moqie.clicksun.cn��,聯(lián)系電話(huà):4001861886
該文章在 2025/7/26 9:12:51 編輯過(guò)
400 186 1886
