【漏洞预警】用友 U8cloud CTExecDraftAction SQL注入漏洞

原创 MasterC 企业安全实践 2025-01-07 03:11

一、漏洞描述

用友U8cloud是用友推出的新一代云ERP，主要聚焦成长型、创新型企业，提供企业级云ERP整体解决方案，支持多组织业务协同、营销创新、智能财务、人力服务，构建产业链制造。用友U8cloud CTExecDraftAction 存在SQL注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码,站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

二、漏洞等级

高危

三、受影响版本

影响全版本或参考官网通告。

四、安全版本

参考官网修复版本。

五、修复建议

目前官方已修复该漏洞，建议受影响用户尽快前往官网升级至安全版本。

六、缓解方案

目前暂无缓解方案。

七、参考链接

https://security.yonyou.com/#/noticeInfo?id=604