用友U8 nc.bs.sm.login2.RegisterServlet SQL注入

2024年3月26日23:03:23评论41 views字数 286阅读0分57秒阅读模式

0x00免责声明

本次测试仅供学习使用，如若非法他用，与平台和本文作者无关，需自行负责！

0x01漏洞描

用友U8 Cloud nc.bs.sm.login2.RegisterServlet SQL注入，黑客可以利用该漏洞执行任意SQL语句，如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。

0x02漏洞复现

1、fofa

app="用友-U8-Cloud"

2、部分界面如下

用友U8 nc.bs.sm.login2.RegisterServlet SQL注入

3、利用方式请加入帮会获取

用友U8 nc.bs.sm.login2.RegisterServlet SQL注入

0x03修复建议

升级到安全版本

0x04

原文始发于微信公众号（非攻安全实验室）：用友U8 nc.bs.sm.login2.RegisterServlet SQL注入

本文由 admin 发表于 2024年3月26日23:03:23
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
用友U8 nc.bs.sm.login2.RegisterServlet SQL注入https://cn-sec.com/archives/2604874.html

CVE-2024-2389 命令执行漏洞(附EXP)