标题:用友GRP-U8R10 GRP-U8Manager漏洞补丁下载【2023-06】
作者:
日期:2023-07-05 11:09:39
内容:
20230628-关于GRP-U8 WSDL接口存在信息泄露的处理
《20230523-关于用友GRP-U8存在SQL注入漏洞(通过datalist或sqcxIndex或sqcxList)的解决方案.zip》
《20230608-关于用友GRP-U8存在SQL注入漏洞(userInfoWeb)的解决方案.zip》
《20230616-关于GRP-U8存在SSRF漏洞的解决方案.zip》
1、漏洞:利用/u8qx/SmartUpload01.jsp上传文件。
下载【20221214-关于用友GRP-U8存在命令执行漏洞的解决方案】
2、漏洞:利用/proxy接口,请求报文中包含扩展存储过程xp_cmdshell,产生提权,被利用后结合特定Shell脚本,会造成一定风险(本次临时补丁同步对相似sp_oacreate也进行了处理)。
下载【20221226-关于用友GRP-U8存在命令执行漏洞的解决方案】
3、漏洞:利用U8AppProxy上传文件。
下载【20230210-关于用友GRP-U8行政事业内控管理软件存在文件上传漏洞的解决方案】
4、漏洞:利用ListSelectDialogServlet。
下载【20230212-关于用友GRP-U8行政事业内控管理软件存在SQL注入漏洞的解决方案】
5、漏洞:利用/u8qx/license_check.jsp。
下载【20230217-关于用友GRP-U8行政事业内控管理软件存在SQL注入漏洞的解决方案】
6、漏洞:利用/servlet/FileUpload上传文件。
下载【20230220-关于用友GRP-U8存在文件上传漏洞的解决方案】
7、漏洞:利用/u8qx/dialog_moreUser_check.jsp。
下载【20230316-关于用友GRP-U8存在sql注入漏洞的解决方案】
8、漏洞:利用/proxy接口,报文包含@@version非法获取到数据库版本信息。
下载【20230317-关于用友GRP-U8存在sql注入漏洞的解决方案】
9、利用u8qx/slbmbygr.jsp进行SQL注入
下载【20230407-关于用友GRP-U8行政事业内控管理软件存在SQL注入漏洞的解决方案.zip】