漏洞通告 | 用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞
漏洞通告 | 用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞
原创 微步情报局 微步在线研究响应中心 2023-09-22 14:56
01 漏洞概况****
用友GRP-U8是用友软件推出的一款企业级管理软件套件,旨在帮助企业实现全面的数字化管理和业务优化。
近日,微步漏洞团队监测到用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞情报。用友GRP-U8 bx_historyDataCheck.jsp接口对用户传入的参数未进行有效的过滤,直接拼接到SQL查询语句中,导致SQL注入漏洞。
经过分析与研判,攻击者通过该漏洞可以获取数据库敏感信息,利用难度低,建议尽快修复。
02 漏洞处置优先级(VPT)
综合处置优先级:
高
|
漏洞编号 |
微步编号 |
XVE-2023-29257 |
|
漏洞评估 |
危害评级 |
高危 |
|
漏洞类型 |
SQL注入 |
|
|
公开程度 |
PoC已公开 |
|
|
利用条件 |
无权限要求 |
|
|
交互要求 |
0-click |
|
|
威胁类型 |
远程 |
|
|
利用情报 |
微步已捕获攻击行为 |
暂无 |
|
影响产品 |
产品名称 |
用友网络科技股份有限公司-GRP-U8 |
|
受影响版本 |
用友GRP-U8 U8Manager版本B、C、G三个产品系列 |
|
|
影响范围 |
千级 |
|
|
有无修复补丁 |
有 |