0x01 漏洞简述
—
用友GRP-U8是一款企业级的综合管理软件,主要用于财务、人力资源、供应链、生产制造等多个领域的管理与协同。它具备强大的功能模块,包括财务核算、费用管理、人力资源管理、采购管理、销售管理、库存管理等,能够满足企业不同部门和业务流程的需求。用友GRP-U8以其稳定性和灵活性著称,适用于中小型企业和大型企业的管理需求。此外,用友GRP-U8还提供了强大的报表和数据分析功能,帮助企业进行数据驱动的决策和管理。
![[1day]用友GRP-U8 XXE漏洞](http://cn-sec.com/wp-content/uploads/2024/01/3-1704659716.png "[1day]用友GRP-U8 XXE漏洞")
0x02 资产测绘
—
Fofa语法:app="用友-GRP-U8"
0x03 漏洞复现
—
![[1day]用友GRP-U8 XXE漏洞](http://cn-sec.com/wp-content/uploads/2024/01/4-1704659717.png "[1day]用友GRP-U8 XXE漏洞")
![[1day]用友GRP-U8 XXE漏洞](http://cn-sec.com/wp-content/uploads/2024/01/7-1704659718.png "[1day]用友GRP-U8 XXE漏洞")
0x04 圈子介绍
—
第一时间获取新的漏洞讯息,圈内每天更新1-3篇漏洞资源
更多漏洞POC和批量脚本发布在圈内
![[1day]用友GRP-U8 XXE漏洞](http://cn-sec.com/wp-content/uploads/2024/01/6-1704659719.png "[1day]用友GRP-U8 XXE漏洞")
用友NC word.docx 任意文件读取漏洞通天星CMSV6车载视频监控平台 SQL注入漏洞[0day]全程云OA存在SQL注入漏洞天擎终端安全管理系统clientinfobymid方法SQL注入导致命令执行漏洞奇安信360天擎getsimilarlist存在SQL注入漏海康威视安全接入网关 任意文件读取漏洞福建科立讯通信指挥调度管理平台文件上传3福建科立讯通信指挥调度管理平台文件上传2福建科立讯通信指挥调度管理平台文件上传1智邦国际ERP系统 SQL注入漏洞用友-u8-crm信息泄露crmdebug企语iFair 协同管理系统 任意文件读取漏洞(CVE-2023-47473).................
原文始发于微信公众号(嗨嗨安全):[1day]用友GRP-U8 XXE漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论