1day | 用友u8反序列化RCE漏洞

admin 2023年12月10日08:55:10评论38 views字数 788阅读2分37秒阅读模式

0x02 漏洞描述

(一) 用友u8-cloud

用友U8 cloud是用友推出的新一代云ERP,主要聚焦成长型、创新型、集团型企业,提供企业级云ERP整体解决方案。它包含ERP的各项应用,包括iUAP、财务会计、iUFO cloud、供应链与质量管理、人力资源、生产制造、管理会计、资产管理,以及电商通、U会员、U订货、友云采、友报账、友空间、友人才等用友云服务

U8 cloud的重心在于为企业建立内部稳定器的管理引擎,同时通过用友云链接自有云服务实现了交易、连接、与管控的一体化商业创新引擎的激活。客户既可以选用轻量化的云服务,实现垂直领域的优先发展,云服务集成互联网资源和外部社会资源、企业进行互联网直接的交易,与商业服务的集成;企业也可以直接购买ERP服务,U8 cloud为客户一体化的提供了综合的企业核心领域的云服务

1day | 用友u8反序列化RCE漏洞

fofa语法:

app="用友-U8-Cloud"

1day | 用友u8反序列化RCE漏洞

(二) 漏洞复现

1day | 用友u8反序列化RCE漏洞

1day | 用友u8反序列化RCE漏洞

(三) 修复方案

1、官方修复方案:

官方已经发布安全补丁,请尽快升级到最新版,相关链接如下所示:
  • https://security.yonyou.com/#/patchInfo?foreignKey=dc9efa413a644d88b55403cdc150cfea

  • https://security.yonyou.com/#/patchInfo?foreignKey=eb893884876e4bc2acd04ee40dc4cb5f
  • https://security.yonyou.com/#/patchInfo?foreignKey=456abb6ce5544ef4a0065fd3a22c1552

2、临时修复方案:

(1)如非必要,不将U8 cloud暴露在公网上
(2)使用ACL网络策略限制访问来源
(3)使用防护类设备对相关接口进行防护

原文始发于微信公众号(阿无安全):1day | 用友u8反序列化RCE漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月10日08:55:10
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   1day | 用友u8反序列化RCE漏洞http://cn-sec.com/archives/2280046.html

发表评论

匿名网友 填写信息