登錄

歡迎userBOB登陆 退出

簡體中文

  • 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

用友U8Cloud ServiceDispatcher反序列化漏洞通告

【發布時間:2023-10-18】

BOB登陆 盾山實驗室

2023/09/21


1. 漏洞綜述

1.1 漏洞背景

用友U8Cloud是用友網絡科技股份有限公司(簡稱“用友網絡”)推出的一款雲端企業管理軟件。用友U8Cloud提供了全麵的企業管理功能,包括財務管理、人力資源管理、供應鏈管理、采購管理、銷售管理等。支持多種業務模式,適用於不同行業和企業規模的需求,幫助企業實現數字化轉型和雲端化管理。近日,BOB登陆 盾山實驗室監測到用友官方發布了安全公告,修複了一個存在於用友U8Cloud中的反序列化漏洞,且漏洞利用代碼已公開,攻擊者利用該漏洞可在目標服務器上執行任意代碼。

1.2 漏洞詳情

由於用友U8Cloud存在反序列化漏洞,未經身份驗證的惡意攻擊者通過ServiceDispatcher接口發送特殊請求包,成功利用此漏洞可在目標服務器上執行任意代碼,從而獲取目標服務器的控製權限。

2. 影響範圍

U8Cloud所有版本

3. 嚴重等級

威脅等級

嚴重

影響程度

廣泛

利用價值

利用難度

漏洞評分

9.8

4. 處置方法

4.1 官方補丁

目前官方已修複該漏洞,受影響用戶可以升級更新到安全版本。官方下載鏈接:https://security.yonyou.com/#/patchInfo?foreignKey=7bd5b43e2c984a618b2b1d3f288110ae

4.2 BOB登陆 解決方案

1、BOB登陆 安全設備防護方案

BOB登陆 IPS規則庫將在1.0.263版本支持對該漏洞的識別,BOB登陆 全係安全產品可通過升級IPS特征庫識別該漏洞的攻擊流量,並進行主動攔截。

2、BOB登陆 態勢感知解決方案

BOB登陆 態勢感知已支持該漏洞的檢測,通過信息搜集整合、數據關聯分析等綜合研判手段,發現網絡中遭受該漏洞攻擊及失陷的資產。

3、BOB登陆 雲安全能力中心解決方案

BOB登陆 雲安全能力中心知識庫已更新該漏洞信息,可查詢對應漏洞產生原理、升級補丁、修複措施等。

5. 參考鏈接

https://security.yonyou.com/#/patchInfo?foreignKey=7bd5b43e2c984a618b2b1d3f288110ae

BOB登陆 官網
聯係我們