专栏名称: 微步在线研究响应中心

微步情报局最新威胁事件分析、漏洞分析、安全研究成果共享，探究网络攻击的真相

漏洞通告 | 用友U8cloud SQL注入漏洞

微步在线研究响应中心 · 公众号 · · 2024-03-19 15:00

正文

漏洞概况

用友 U8cloud是用友推出的新一代云ERP，专注于成长型、创新型企业，提供企业级云ERP整体解决方案，支持多组织业务协同、营销创新、智能财务、人力服务等功能。

近日，微步漏洞团队监控到用友 U8cloud 发布安全补丁，修复了两处SQL注入漏洞，上述两个漏洞均已复现，经过分析，攻击者可在未授权情况下利用漏洞获取数据库敏感信息，建议受影响的用户持续关注。

漏洞处置优先级(VPT)

综合处置优先级 ：中

漏洞编号

微步编号

XVE-2024-4626

漏洞评估

危害评级

中危

漏洞类型

SQL注入

公开程度

PoC未公开

利用条件

无权限要求

交互要求

0-click

威胁类型

远程

利用情报

微步已捕获攻击行为

暂无

综合处置优先级： 中

漏洞编号

微步编号

XVE-2024-4628

漏洞评估

危害评级

中危

漏洞类型

SQL注入

公开程度

PoC未公开

利用条件

无权限要求

交互要求

0-click

威胁类型

远程

利用情报

微步已捕获攻击行为

暂无

漏洞影响范围

产品名称	用友U8cloud
受影响版本	1.0 ≤ version ≤ 5.0sp
影响范围	千级
有无修复补丁	有

前往X情报社区资产测绘查看影响资产详情：

https://x.threatbook.com/v5/survey?q=app%3D"Yonyou-U8-cloud"

漏洞复现

XVE-2024-4628

XVE-2024-4626

修复方案

官方修复方案：

厂商已发布漏洞补丁程序，请前往以下链接进行更新

XVE-2024-4626

https://security.yonyou.com/#/patchInfo?identifier=1570e29028a24472a18ee5b29436276f

XVE-2024-4628

https://security.yonyou.com/#/patchInfo?identifier=664002b12b284c468f231e3723230e84

临时修复方案：

使用防护类设备对相关资产进行防护
如非必要，避免将资产暴露在互联网

微步产品侧支持情况

微步威胁感知平台TDP已支持检测，规则ID为 S3100125202

XVE-2024-4628，规则ID：D138015031f，模型/规则高于20230725000000可检出。

XVE-2024-4626，规则ID：D10895c3b2d、S3100136981，模型/规则高于20220101000000可检出。

时间线

2024.03.13 微步漏洞团队获取该漏洞相关情报

2024.03.13 TDP默认支持检测
2024.03.19 微步发布报告

网安人不容错过的年度盛会——CSOP 2024 正在火热报名中，只有干货，席位紧俏。扫码立即报名北京站大会 ↓ ↓ ↓

请到「今天看啥」查看全文

推荐文章

人人都是产品经理 · 一个合格的产品经理是什么样子？很多人搞错了！

3 小时前

产品犬舍 · 我和从 PM 转型做视频电商的哥们，喝咖啡聊天的一个下午

4 天前

91产品 · 2025年全球外贸商机日历

2 天前

人人都是产品经理 · 翻译与结构化输出，是产品经理最常用的两个技能

3 天前

人人都是产品经理 · 短期高估、长期低估——微信接入DeepSeek的冷思考

3 天前

新智派 · 让iPhone放音乐切换时可跳出通知状态栏提醒！

8 年前

51找翻译 · 【活动预告】同传体验日——担任翻译，体验同传（3.26）

7 年前

猎云网 · 投资人只会对你摇头？做到这三点换他们倒追你！

7 年前

汽车商业评论 · 库里“加持”下，英菲尼迪要做一个怎样的挑战者 | 汽车商业评论

7 年前

医药云端工作室 · 医药代表想伪装成患者见医生，且慢！你有检察院的未行贿证明吗？

7 年前