用友U8 Cloud FileManageServlet反序列化

漏洞描述

用友U8cloud是用友推出的新一代云ERP，主要聚焦成长型、创新型企业，提供企业级云ERP整体解决方案，全面支持多组织业务协同、营销创新、智能财务、人力服务，构建产业链制造平台，融合用友云服务，实现企业互联网资源连接、共享、协同，赋能中国成长型企业高速发展、云化创新。用友U8Cloud在全版本中存在反序列化漏洞。未经授权的攻击者可以通过访问FileManageServlet类时构造恶意请求包，当传递的恶意序列化数据被系统反序列化后，将会导致远程代码执行，从而使得服务器被控制。

漏洞危害

攻击者通过发送恶意数据包，利用反序列化数据包，达到命令执行的效果，导致系统被攻击与控制。

漏洞检测与利用

修复建议

请使用此产品的用户尽快更新安全补丁

补丁信息

补丁编号：774c7e1f220a411dbd8eb3382c4797d5

补丁名称：关于U8cloud所有版本FileManageServlet存在反序列化漏洞的安全公告

补丁链接：https://security.yonyou.com/#/patchInfo?identifier=774c7e1f220a411dbd8eb3382c4797d5

原文始发于微信公众号（南街老友）：用友U8 Cloud FileManageServlet反序列化