0x01 阅读须知
天擎攻防实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
0x02 漏洞描述
(一)用友GRP-U8
用友GRP-U8是用友网络科技股份有限公司(Yonyou)开发的一款企业级管理软件系统。GRP代表"Great Resource Planning",是用友公司旗下的一系列企业资源规划(ERP)软件产品之一。
用友GRP-U8提供了包括财务管理、供应链管理、生产制造、人力资源管理、客户关系管理等在内的各个功能模块,旨在帮助企业实现内部管理的全面优化和协同。
(二) 漏洞简介
该漏洞是由于用友GRP-U8未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。
影响范围
用友GRP-U8 U8Manager版本B、C、G三个产品系列
hunter语法:
app.name="用友GRP-U8 OA"
(三) 漏洞复现
漏洞POC发布在知识星球
0x03 修复方案
官方修复缓解措施
补丁链接
临时缓解方案
通过网络ACL策略限制访问来源,例如只允许来自特定IP地址或地址段的访问请求。
升级修复方案
官方已发布升级补丁包,可在官方公告https://security.yonyou.com/#/noticeInfo?id=379中进行下载使用。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...