LOGO OA教程 ERP教程 模切知识交流 PMS教程 CRM教程 开发文档 其他文档  
 
网站管理员

【漏洞通告】 X友U8 cloud远程代码执行漏洞

admin
2024年1月31日 19:7 本文热度 701

漏洞概况

U8 cloud是X友推出的新一代云ERP,主要聚焦成长型、创新型企业,提供企业级云ERP整体解决方案。

近日用友官方发布了数个U8 Cloud的漏洞补丁更新,修复了反序列化及文件删除的漏洞。这些漏洞影响U8 Cloud全版本,且无需认证直接远程利用,攻击者利用漏洞可删除服务器任意文件或直接获取服务器权限。


影响版本

U8 Cloud全版本


漏洞信息

  • CacheInvokeServlet接口反序列化漏洞(CVE-2023-33415)

    • 通过该接口发送精心构造的反序列化数据可在服务器上执行任意代码,获取服务器权限。

  • FileTransportServlet接口反序列化漏洞(CVE-2023-35547)

    • 通过该接口发送精心构造的反序列化数据可在服务器上执行任意代码,获取服务器权限。

  • PrintTemplateFileServlet接口任意文件删除漏洞(CVE-2023-32473)

    • 参数控制不严格,攻击者通过构造Get请求可直接删除服务器上文件。


修复方案

1、官方修复方案:

官方已经发布安全补丁,请尽快升级到最新版,相关链接如下所示:

https://security.yonyou.com/#/patchInfo?foreignKey=dc9efa413a644d88b55403cdc150cfea

https://security.yonyou.com/#/patchInfo?foreignKey=eb893884876e4bc2acd04ee40dc4cb5f

https://security.yonyou.com/#/patchInfo?foreignKey=456abb6ce5544ef4a0065fd3a22c1552

2、临时修复方案:

(1)如非必要,不将U8 Cloud暴露在公网上

(2)使用ACL网络策略限制访问来源

(3)使用防护类设备对相关接口进行防护


该文章在 2024/2/4 12:18:23 编辑过
关键字查询
相关文章
正在查询...
点晴ERP是一款针对中小制造业的专业生产管理软件系统,系统成熟度和易用性得到了国内大量中小企业的青睐。
点晴PMS码头管理系统主要针对港口码头集装箱与散货日常运作、调度、堆场、车队、财务费用、相关报表等业务管理,结合码头的业务特点,围绕调度、堆场作业而开发的。集技术的先进性、管理的有效性于一体,是物流码头及其他港口类企业的高效ERP管理信息系统。
点晴WMS仓储管理系统提供了货物产品管理,销售管理,采购管理,仓储管理,仓库管理,保质期管理,货位管理,库位管理,生产管理,WMS管理系统,标签打印,条形码,二维码管理,批号管理软件。
点晴免费OA是一款软件和通用服务都免费,不限功能、不限时间、不限用户的免费OA协同办公管理系统。
Copyright 2010-2024 ClickSun All Rights Reserved