01 漏洞概况
近日,微步漏洞团队监测到用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞情报。用友GRP-U8 bx_historyDataCheck.jsp接口对用户传入的参数未进行有效的过滤,直接拼接到SQL查询语句中,导致SQL注入漏洞。
经过分析与研判,攻击者通过该漏洞可以获取数据库敏感信息,利用难度低,建议尽快修复。
02 漏洞处置优先级(VPT)
综合处置优先级:高
|
漏洞编号 |
微步编号 |
XVE-2023-29257 |
|
漏洞评估 |
危害评级 |
高危 |
|
漏洞类型 |
SQL注入 |
|
|
公开程度 |
PoC已公开 |
|
|
利用条件 |
无权限要求 |
|
|
交互要求 |
0-click |
|
|
威胁类型 |
远程 |
|
|
利用情报 |
微步已捕获攻击行为 |
暂无 |
|
影响产品 |
产品名称 |
用友网络科技股份有限公司-GRP-U8 |
|
受影响版本 |
用友GRP-U8 U8Manager版本B、C、G三个产品系列 |
|
|
影响范围 |
千级 |
|
|
有无修复补丁 |
有 |
03 漏洞复现
![漏洞通告 | 用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞]( "漏洞通告 | 用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞")
04 修复方案
1、官方修复方案:
官方已经发布了修复方案,请前往以下地址获取
https://security.yonyou.com/#/noticeInfo?id=379
2、临时修复方案:
-
1.通过ACL网络策略限制访问来源
-
2.使用防护类设备对相关资产进行防护
-
05 微步在线产品侧支持情况
微步在线威胁感知平台TDP通用SQL注入规则支持检测。
![漏洞通告 | 用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞]( "漏洞通告 | 用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞")
06 时间线
2023.09.22 获取该漏洞相关情报
2023.09.22 微步发布报告
---End---
微步漏洞情报订阅服务
微步漏洞情报订阅服务是由微步漏洞团队面向企业推出的一项高级分析服务,致力于通过微步自有产品强大的高价值漏洞发现和收集能力以及微步核心的威胁情报能力,为企业提供0day漏洞预警、最新公开漏洞预警、漏洞分析及评估等漏洞相关情报,帮助企业应对最新0day/1day等漏洞威胁并确定漏洞修复优先级,快速收敛企业的攻击面,保障企业自身业务的正常运转。
X 漏洞奖励计划
“X漏洞奖励计划”是微步X情报社区推出的一款0day漏洞奖励计划,我们鼓励白帽子提交挖掘到的0day漏洞,并给予白帽子可观的奖励。我们期望通过该计划与白帽子共同努力,提升0day防御能力,守护数字世界安全。
03 漏洞复现
![漏洞通告 | 用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞]( "漏洞通告 | 用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞")
04 修复方案
1、官方修复方案:
官方已经发布了修复方案,请前往以下地址获取
https://security.yonyou.com/#/noticeInfo?id=379
2、临时修复方案:
-
1.通过ACL网络策略限制访问来源
-
2.使用防护类设备对相关资产进行防护
-
05 微步在线产品侧支持情况
微步在线威胁感知平台TDP通用SQL注入规则支持检测。
![漏洞通告 | 用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞]( "漏洞通告 | 用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞")
06 时间线
2023.09.22 获取该漏洞相关情报
2023.09.22 微步发布报告
---End---
微步漏洞情报订阅服务
微步漏洞情报订阅服务是由微步漏洞团队面向企业推出的一项高级分析服务,致力于通过微步自有产品强大的高价值漏洞发现和收集能力以及微步核心的威胁情报能力,为企业提供0day漏洞预警、最新公开漏洞预警、漏洞分析及评估等漏洞相关情报,帮助企业应对最新0day/1day等漏洞威胁并确定漏洞修复优先级,快速收敛企业的攻击面,保障企业自身业务的正常运转。
X 漏洞奖励计划
“X漏洞奖励计划”是微步X情报社区推出的一款0day漏洞奖励计划,我们鼓励白帽子提交挖掘到的0day漏洞,并给予白帽子可观的奖励。我们期望通过该计划与白帽子共同努力,提升0day防御能力,守护数字世界安全。
03 漏洞复现
04 修复方案
1、官方修复方案:
官方已经发布了修复方案,请前往以下地址获取
https://security.yonyou.com/#/noticeInfo?id=379
2、临时修复方案:
-
1.通过ACL网络策略限制访问来源
-
2.使用防护类设备对相关资产进行防护
-
04 修复方案
1、官方修复方案:
官方已经发布了修复方案,请前往以下地址获取
https://security.yonyou.com/#/noticeInfo?id=379
2、临时修复方案:
-
1.通过ACL网络策略限制访问来源
-
2.使用防护类设备对相关资产进行防护
-
04 修复方案
1、官方修复方案:
https://security.yonyou.com/#/noticeInfo?id=379
2、临时修复方案:
-
1.通过ACL网络策略限制访问来源
-
2.使用防护类设备对相关资产进行防护
-
05 微步在线产品侧支持情况
微步在线威胁感知平台TDP通用SQL注入规则支持检测。
![漏洞通告 | 用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞]( "漏洞通告 | 用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞")
05 微步在线产品侧支持情况
微步在线威胁感知平台TDP通用SQL注入规则支持检测。
![漏洞通告 | 用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞]( "漏洞通告 | 用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞")
05 微步在线产品侧支持情况
微步在线威胁感知平台TDP通用SQL注入规则支持检测。
06 时间线
2023.09.22 获取该漏洞相关情报
2023.09.22 微步发布报告
---End---
微步漏洞情报订阅服务
微步漏洞情报订阅服务是由微步漏洞团队面向企业推出的一项高级分析服务,致力于通过微步自有产品强大的高价值漏洞发现和收集能力以及微步核心的威胁情报能力,为企业提供0day漏洞预警、最新公开漏洞预警、漏洞分析及评估等漏洞相关情报,帮助企业应对最新0day/1day等漏洞威胁并确定漏洞修复优先级,快速收敛企业的攻击面,保障企业自身业务的正常运转。
X 漏洞奖励计划
“X漏洞奖励计划”是微步X情报社区推出的一款0day漏洞奖励计划,我们鼓励白帽子提交挖掘到的0day漏洞,并给予白帽子可观的奖励。我们期望通过该计划与白帽子共同努力,提升0day防御能力,守护数字世界安全。
06 时间线
2023.09.22 获取该漏洞相关情报
2023.09.22 微步发布报告
---End---
微步漏洞情报订阅服务
微步漏洞情报订阅服务是由微步漏洞团队面向企业推出的一项高级分析服务,致力于通过微步自有产品强大的高价值漏洞发现和收集能力以及微步核心的威胁情报能力,为企业提供0day漏洞预警、最新公开漏洞预警、漏洞分析及评估等漏洞相关情报,帮助企业应对最新0day/1day等漏洞威胁并确定漏洞修复优先级,快速收敛企业的攻击面,保障企业自身业务的正常运转。
X 漏洞奖励计划
“X漏洞奖励计划”是微步X情报社区推出的一款0day漏洞奖励计划,我们鼓励白帽子提交挖掘到的0day漏洞,并给予白帽子可观的奖励。我们期望通过该计划与白帽子共同努力,提升0day防御能力,守护数字世界安全。
06 时间线
2023.09.22 获取该漏洞相关情报
2023.09.22 微步发布报告
06 时间线
2023.09.22 获取该漏洞相关情报
2023.09.22 微步发布报告
06 时间线
2023.09.22 获取该漏洞相关情报
2023.09.22 微步发布报告
06 时间线
2023.09.22 获取该漏洞相关情报
2023.09.22 微步发布报告
06 时间线
2023.09.22 获取该漏洞相关情报
2023.09.22 微步发布报告
06 时间线
2023.09.22 获取该漏洞相关情报
2023.09.22 微步发布报告
06 时间线
2023.09.22 获取该漏洞相关情报
2023.09.22 微步发布报告
06 时间线
2023.09.22 获取该漏洞相关情报
2023.09.22 微步发布报告
06 时间线
2023.09.22 获取该漏洞相关情报
2023.09.22 微步发布报告
---End---
微步漏洞情报订阅服务
微步漏洞情报订阅服务是由微步漏洞团队面向企业推出的一项高级分析服务,致力于通过微步自有产品强大的高价值漏洞发现和收集能力以及微步核心的威胁情报能力,为企业提供0day漏洞预警、最新公开漏洞预警、漏洞分析及评估等漏洞相关情报,帮助企业应对最新0day/1day等漏洞威胁并确定漏洞修复优先级,快速收敛企业的攻击面,保障企业自身业务的正常运转。
X 漏洞奖励计划
“X漏洞奖励计划”是微步X情报社区推出的一款0day漏洞奖励计划,我们鼓励白帽子提交挖掘到的0day漏洞,并给予白帽子可观的奖励。我们期望通过该计划与白帽子共同努力,提升0day防御能力,守护数字世界安全。
微步漏洞情报订阅服务
微步漏洞情报订阅服务是由微步漏洞团队面向企业推出的一项高级分析服务,致力于通过微步自有产品强大的高价值漏洞发现和收集能力以及微步核心的威胁情报能力,为企业提供0day漏洞预警、最新公开漏洞预警、漏洞分析及评估等漏洞相关情报,帮助企业应对最新0day/1day等漏洞威胁并确定漏洞修复优先级,快速收敛企业的攻击面,保障企业自身业务的正常运转。
X 漏洞奖励计划
“X漏洞奖励计划”是微步X情报社区推出的一款0day漏洞奖励计划,我们鼓励白帽子提交挖掘到的0day漏洞,并给予白帽子可观的奖励。我们期望通过该计划与白帽子共同努力,提升0day防御能力,守护数字世界安全。
微步漏洞情报订阅服务
微步漏洞情报订阅服务是由微步漏洞团队面向企业推出的一项高级分析服务,致力于通过微步自有产品强大的高价值漏洞发现和收集能力以及微步核心的威胁情报能力,为企业提供0day漏洞预警、最新公开漏洞预警、漏洞分析及评估等漏洞相关情报,帮助企业应对最新0day/1day等漏洞威胁并确定漏洞修复优先级,快速收敛企业的攻击面,保障企业自身业务的正常运转。
X 漏洞奖励计划
“X漏洞奖励计划”是微步X情报社区推出的一款0day漏洞奖励计划,我们鼓励白帽子提交挖掘到的0day漏洞,并给予白帽子可观的奖励。我们期望通过该计划与白帽子共同努力,提升0day防御能力,守护数字世界安全。
原文始发于微信公众号(微步在线研究响应中心):漏洞通告 | 用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论