0x00 漏洞编号

• 暂无

0x01 危险等级

• 高危
  

0x02 漏洞概述

用友U8 cloud是一款集成的企业资源计划解决方案，旨在帮助不断发展的企业同步前后端业务功能。

0x03 漏洞详情

漏洞类型：XML注入

影响：获取敏感信息

简述：用友U8Cloud NCMERPServlet接口存在XML外部实体注入漏洞，由于用友GRP-U8未对用户的输入进行有效的过滤，攻击者可通过xml实体注入漏洞获取敏感信息，进一步利用可造成主机失陷。

0x04 影响版本

• 用友U8 Cloud 2.0

• 用友U8 Cloud 2.1

• 用友U8 Cloud 2.3

• 用友U8 Cloud 2.5

• 用友U8 Cloud 2.6

• 用友U8 Cloud 2.65

• 用友U8 Cloud 2.7

• 用友U8 Cloud 3.0

• 用友U8 Cloud 3.1

• 用友U8 Cloud 3.2

• 用友U8 Cloud 3.5

• 用友U8 Cloud 3.6

• 用友U8 Cloud 5.0

0x05 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://www.yonyou.com/

原文始发于微信公众号（浅安安全）：漏洞预警 | 用友U8cloud xml实体注入漏洞