一、安全通告
二、漏洞描述
| 名称 | 适用版本 | 发布时间 |
| U8CLOUD所有版本hrss实体注入漏洞问题的安全补丁 | 所有版本 | 2023-09-11 |
________________________________________________________________________
漏洞名称:用友 U8cloud所有版本hrss存在实体注入漏洞
补丁出现时间:2023年9月11日
漏洞报送时间:2023年9月1日
影响等级:严重
漏洞说明: 攻击者添加恶意内容,通过易受攻击的代码,就能够攻击包含缺陷的XML处理器。常规xxe漏洞。
利用方式:不公开
影响版本:全版本
修复方式:
-
更新置最新版本,升级补丁<U8CLOUD所有版本hrss实体注入漏洞问题的安全补丁>
-
https://security.yonyou.com/#/patchInfo?foreignKey=3c900fd6f90943afb43f699c8be59557
相关链接:
-
https://security.yonyou.com/#/patchInfo?foreignKey=3c900fd6f90943afb43f699c8be59557
________________________________________________________________________
三、漏洞截图(打码😄)
U8 cloud是用友推出的新一代云ERP,主要聚焦成长型、创新型企业,提供企业级云ERP整体解决方案。用友网络科技股份有限公司U8 Cloud存在XML实体注入漏洞,攻击者可利用该漏洞读取系统配置文件。
原文始发于微信公众号(和光同尘hugh):【漏洞通告】——挖洞的动力
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论