皓月当空,明镜高悬
文末可体验bugSearch系统哦~
漏洞名称:用友CRM存在SQL注入漏洞
漏洞出现时间:2024年1月23日
影响等级:高危
漏洞说明:
影响版本:
-
此漏洞影响 V18, V16.5, V16.1, V16.0, V15.1, V15.0, V13版本
修复方式:
-
修复方案 第一步:在配置文件尾部追加如下段落即可配置文件: U8SOFTturbocrm70apacheconfhttpd.conf, 在末尾添加一个配置:<Directory "D:/U8SOFT/turbocrm70/code/www/background">Require local </Directory>其中,需要将<Directory "D:/U8SOFT/turbocrm70/code/www/background">中的u8安装路径修改为正确的安装路径 第二步:解压CRM存在SQL注入漏洞的解决20230119.zip 将解压文件中的U8SOFT目录覆盖产品安装目录。其中主要修改逻辑包含两点,其一,在嗅探数据库名的位置增加随机延时,阻止基于运行时间的时间攻击;其二,Sql语句参数化执行 修改完之后重启Apache4TurboCRM70服务 U8从v16.5开始,CRM不再作为主安装盘的一部分,如果没有单独安装U8CRM,则不会受到本漏洞影响,无需进行任何处理。。
相关链接:
-
https://security.yonyou.com/#/patchInfo?identifier=217e0315dcfe40a1977dd9e88c112817
-
http://www.loveli.com.cn:12530/one?hydkid=hydk-1705974764.4512866
原文始发于微信公众号(皓月当空w):【高危漏洞】 用友CRM存在SQL注入漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论