用友-grp-u8-xml-sql注入漏洞复现

2024年4月19日02:30:01评论18 views字数 465阅读1分33秒阅读模式

01 产品描述

用友GRP-U8是用友公司专为政府行政事业单位打造的财务管理软件，该软件基于云计算技术，致力于提供高效、稳定且易用的财务管理解决方案。它结合了用友多年的软件开发经验和用户最佳实践，不仅具备传统财务管理软件的稳定性和业务全面性，更融入了移动应用技术，为用户带来全新的人机交互体验。用友GRP-U8紧跟国家财政和行政事业单位财务体制的改革步伐，能够迅速适应并满足不断变化的财务管理需求。它预制了新科目体系和报表模板，实现了新旧两套体系的平滑升级，为事业单位新会计制度的顺利实施提供了信息化支持。

02 FOFA语法

app="用友-GRP-U8"

03 漏洞复现

python3 main.py -f url.txt -p yongyou-grp-u8-xml-sqli

用友-grp-u8-xml-sql注入漏洞复现

04 修复建议

1、限制operOriztion接口的访问

2、升级用友-grp-u8至最新版本

3、官网下载最新补丁版本：https://www.yonyou.com/

原文始发于微信公众号（SCA御盾）：【漏洞复现】用友-grp-u8-xml-sql注入漏洞复现

左青龙
微信扫一扫

右白虎
微信扫一扫

用友-grp-u8-xml-sql注入漏洞复现

【漏洞复现】ZenTao（禅道）身份认证绕过漏洞（QVD-2024-15263）

（CVE-2024-25648）福昕阅读器 ComboBox 小部件格式事件 UAF

漏洞复现 || SpringBlade dict-biz/list接口SQL注入

漏洞预警 | 大华智慧园区综合管理平台远程代码执行漏洞

漏洞预警 | JeecgBoot任意文件上传漏洞

漏洞预警 | 若依druid未授权访问漏洞

Cisco IOS XE Web UI存在权限提升漏洞(CVE-2023-20198)

【0day】KingPortal运行系统信息泄露漏洞【未公开|附poc】

LiveGBS user/save存在逻辑缺陷漏洞(CNVD-2023-72138)

Cisco IOS XE Web UI存在权限提升漏洞(CVE-2023-20198)

发表评论

在线咨询

微信