用友-u8-FileServlet-任意文件读取漏洞复现

2024年3月26日23:05:52评论39 views字数 514阅读1分42秒阅读模式

01产品描述

用友U8是用友公司针对成长型企业推出的一款全面企业管理软件。该软件承载了用友人十余年来为成长型企业的信息化管理所倾注的心血，它见证了成长型企业信息化从简单管理到精细管理、从部门级应用到企业级应用到供应链级应用的发展历程。用友U8以“实时会计+智能财务+精准税务”为核心，提供会计核算、财务管理、税务管理和金融服务的一体化解决方案，满足企业对信息化、智能化及专业化的全面管理诉求。此外，U8还全面支持智能财务新模式，提供供应链管理、人力资源管理等服务，旨在为企业提供数字化财务服务，助力成长型企业构建连接、融合、云端、智能的财务云平台。

02FOFA语法

app="用友-U8-Cloud"

03漏洞复现

python3 main.py -f url.txt -p yongyou-u8-FileServlet-file-read

用友-u8-FileServlet-任意文件读取漏洞复现

漏洞批量扫描脚本与poc发布在知识星球

04修复建议

1、限制FileServlet接口的访问

2、升级用友U8至最新版本

3、官网下载最新补丁版本：https://www.yonyou.com/

原文始发于微信公众号（SCA御盾）：【漏洞复现】用友-u8-FileServlet-任意文件读取漏洞复现

左青龙
微信扫一扫

右白虎
微信扫一扫

用友-u8-FileServlet-任意文件读取漏洞复现

CVE-2024-2389 命令执行漏洞(附EXP)

CVE-2024-4040 CrushFTP 中的身份验证绕过和任意文件读取

利用 PUT 方法导致三星远程代码执行 (RCE)

泛微E-Mobile 6.0 client.do 命令执行漏洞

【在野0day】某友CRM系统某接口存在任意文件下载（大量资产存在）

【漏洞复现】短视频矩阵营销系统 ajax_uplaod接口处存在任意文件上传

漏洞速递 | Microsoft微软最新RCE漏洞（附EXP）

通达OA down 未授权员工信息泄露漏洞

漏洞预警 | FFmpeg释放后使用漏洞

漏洞预警 | Telegram Windows客户端可执行文件限制不当漏洞

发表评论

在线咨询

微信