0x02 漏洞描述
(一) 用友u8-cloud
用友U8 cloud是用友推出的新一代云ERP,主要聚焦成长型、创新型、集团型企业,提供企业级云ERP整体解决方案。它包含ERP的各项应用,包括iUAP、财务会计、iUFO cloud、供应链与质量管理、人力资源、生产制造、管理会计、资产管理,以及电商通、U会员、U订货、友云采、友报账、友空间、友人才等用友云服务。
U8 cloud的重心在于为企业建立内部稳定器的管理引擎,同时通过用友云链接自有云服务实现了交易、连接、与管控的一体化商业创新引擎的激活。客户既可以选用轻量化的云服务,实现垂直领域的优先发展,云服务集成互联网资源和外部社会资源、企业进行互联网直接的交易,与商业服务的集成;企业也可以直接购买ERP服务,U8 cloud为客户一体化的提供了综合的企业核心领域的云服务。
fofa语法:
app="用友-U8-Cloud"
(二) 漏洞复现
(三) 修复方案
1、官方修复方案:
-
https://security.yonyou.com/#/patchInfo?foreignKey=dc9efa413a644d88b55403cdc150cfea
-
https://security.yonyou.com/#/patchInfo?foreignKey=eb893884876e4bc2acd04ee40dc4cb5f -
https://security.yonyou.com/#/patchInfo?foreignKey=456abb6ce5544ef4a0065fd3a22c1552
2、临时修复方案:
原文始发于微信公众号(阿无安全):1day | 用友u8反序列化RCE漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论