用友暢捷通T+ Ufida.T.SM.Login.UIP SQL注入漏洞復(fù)現(xiàn)~多注意哦!一定要做好備份!

[重要通告]如您遇疑難雜癥,本站支持知識(shí)付費(fèi)業(yè)務(wù),掃右邊二維碼加博主微信,可節(jié)省您寶貴時(shí)間哦!

最近又有網(wǎng)友陸續(xù)收到當(dāng)?shù)鼐W(wǎng)監(jiān)部門(mén)發(fā)布的漏洞文件,大致看了一下依然是,用友暢捷通T+ 前臺(tái)SQL注入漏洞復(fù)現(xiàn)(QVD-2023-13612)

現(xiàn)在除了打補(bǔ)丁,也沒(méi)別的辦法,但這補(bǔ)丁跟過(guò)家家似的,一會(huì)兒沒(méi)了,過(guò)幾天又出來(lái)了,還都是一個(gè)味道一個(gè)配方出品!

用友暢捷通T+ Ufida.T.SM.Login.UIP漏洞描述

暢捷通T+的某后臺(tái)功能點(diǎn)只校驗(yàn)了權(quán)限,未對(duì)用戶(hù)的輸入進(jìn)行過(guò)濾,導(dǎo)致在權(quán)限繞過(guò)后存在SQL注入漏洞,利用此漏洞攻擊者最終可以實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行。

用友暢捷通T+ Ufida.T.SM.Login.UIP影響范圍

暢捷通T+ 13.0
暢捷通T+ 16.0

漏洞復(fù)現(xiàn),fofa語(yǔ)法:app="暢捷通-TPlus"

其實(shí)暢捷通的產(chǎn)品不光暢捷通T+有漏洞,其他版本也有;

1、用友GRP-U8 bx_historyDataCheck.jsp存在sql注入,攻擊者可利用該漏洞執(zhí)行任意SQL語(yǔ)句,如查詢(xún)數(shù)據(jù)、下載數(shù)據(jù)、寫(xiě)入webshell、執(zhí)行系統(tǒng)命令以及繞過(guò)登錄限制等。

漏洞復(fù)現(xiàn)? ? fofa語(yǔ)法:app="用友-GRP-U8"

2、用友U8-Cloud upload.jsp 任意文件上傳漏洞

用友NC系列漏洞檢測(cè)利用工具

https://github.com/wgpsec/YongYouNcTool

用友:不讓BUG陪我過(guò)夜~~可一起過(guò)年!

問(wèn)題未解決?付費(fèi)解決問(wèn)題加Q或微信 2589053300 (即Q號(hào)又微信號(hào))右上方掃一掃可加博主微信

所寫(xiě)所說(shuō),是心之所感,思之所悟,行之所得;文當(dāng)無(wú)敷衍,落筆求簡(jiǎn)潔。 以所舍,求所獲;有所依,方所成!

支付寶贊助
微信贊助

免責(zé)聲明,若由于商用引起版權(quán)糾紛,一切責(zé)任均由使用者承擔(dān)。

您必須遵守我們的協(xié)議,如您下載該資源,行為將被視為對(duì)《免責(zé)聲明》全部?jī)?nèi)容的認(rèn)可->聯(lián)系老梁投訴資源
LaoLiang.Net部分資源來(lái)自互聯(lián)網(wǎng)收集,僅供用于學(xué)習(xí)和交流,請(qǐng)勿用于商業(yè)用途。如有侵權(quán)、不妥之處,請(qǐng)聯(lián)系站長(zhǎng)并出示版權(quán)證明以便刪除。 敬請(qǐng)諒解! 侵權(quán)刪帖/違法舉報(bào)/投稿等事物聯(lián)系郵箱:service@laoliang.net
意在交流學(xué)習(xí),歡迎贊賞評(píng)論,如有謬誤,請(qǐng)聯(lián)系指正;轉(zhuǎn)載請(qǐng)注明出處: » 用友暢捷通T+ Ufida.T.SM.Login.UIP SQL注入漏洞復(fù)現(xiàn)~多注意哦!一定要做好備份!

發(fā)表回復(fù)

本站承接,網(wǎng)站推廣(SEM,SEO);軟件安裝與調(diào)試;服務(wù)器或網(wǎng)絡(luò)推薦及配置;APP開(kāi)發(fā)與維護(hù);網(wǎng)站開(kāi)發(fā)修改及維護(hù); 各財(cái)務(wù)軟件安裝調(diào)試及注冊(cè)服務(wù)(金蝶,用友,管家婆,速達(dá),星宇等);同時(shí)也有客戶(hù)管理系統(tǒng),人力資源,超市POS,醫(yī)藥管理等;

立即查看 了解詳情