【1day】用友U8Cloud未授权访问漏洞学习

最新推荐文章于 2024-08-18 18:12:39 发布
最新推荐文章于 2024-08-18 18:12:39 发布
阅读量649 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 漏洞学习 文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xiaofengdada/article/details/133849933
本文详细介绍了用友U8Cloud存在的未授权访问漏洞,该漏洞可能导致攻击者未经身份验证即可访问敏感资源。文章涵盖了漏洞描述、影响版本、资产测绘、漏洞复现及修复措施等内容,提醒读者注意安全防护。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

注:该文章来自作者日常学习笔记,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与作者无关。

目录

一、漏洞描述

二、影响版本

三、资产测绘 

四、漏洞复现 

五、漏洞修复 

一、漏洞描述

        用友U8Cloud是用友软件股份有限公司推出的一款云端企业管理软件。它是基于用友NC平台的云计算解决方案,能够为企业提供全面的业务管理服务。用友U8Cloud存在未授权访问漏洞,攻击者可以通过某种方式绕过身份验证机制,直接访问应用程序或系统的敏感资源或功能,从而获取敏感信息或进行恶意操作的一种漏洞。

二、影响版本

  • 不详

三、资产测绘 

了解本专栏 订阅专栏 解锁全文 超级会员免费看
1day】金蝶OA系统server_file 目录遍历漏洞学习
记录并分享学习安全的知识点..
05-02 3470
警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保 目录 警告 一、概述 二、影响版本 三、漏洞复现 验证poc如下: 一、概述 金蝶OA server_file 存在目录遍历漏洞,攻击者通过目录遍历可以获取服务器敏感信息。 二、影响版本 金蝶OA产品,影响版本不详 三、漏洞复现 验证poc如下: Windows服务器 appmonitor/protected/selector/server_file/files?folder=C://&...
用友U8 Cloud ArchiveVerify SQL注入漏洞复现
0xSec
02-27 943
用友U8 Cloud ArchiveVerify接口处存在SQL注入漏洞未授权的攻击者可通过此漏洞获取数据库权限,从而盗取用户数据,造成用户信息泄露。
U8 cloud 说明
01-05
U8 cloud-V2.0演示数据说明 用友网络科技股份有限公司 U8C应用规划与方案部
漏洞复现】用友U8 Cloud——XXE
LongL_GuYu的博客
07-13 1506
用友U8 Cloud 提供企业级云ERP整体解决方案,全面支持多组织业务协同,实现企业互联网资源连接。其smartweb2.showRPCLoadingTip.d接口处存在XML实体,攻击者可通过该漏洞获取敏感文件信息。
U8C u8cloud 云授权问题解决
QB2767846279
10-22 2666
U8C 云授权问题解决办法: 购买云用户,二是购买本地账号;
用友U8C U8Cloud U8 cloud u8c V2.1 2.2 V2.3 V2.4 V2.5 V2.6 V2.7 V3.0 3.1 3.2文件下载
kyyh0386的博客
12-15 1141
用友U8C U8Cloud U8 cloud u8c V2.1 2.2 V2.3 V2.4 V2.5 V2.6 V2.7 V3.0 3.1 3.2文件下载
「 网络安全常用术语解读 」什么是0day1day、nday漏洞
热门推荐
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-21 1万+
综上所述,0day 漏洞是指漏洞被公开披露后即被攻击者利用的漏洞1day 漏洞是指在第一天内发布修复程序的漏洞,而 nday 漏洞则表示补丁修复延迟的漏洞。推荐阅读一、网络安全常用术语解读系列(持续更新中)「 网络安全常用术语解读 」杀链Kill Chain详解「 网络安常用全术语解读 」点击劫持Clickjacking详解「 网络安常用全术语解读 」悬空标记注入详解「 网络安常用全术语解读 」内容安全策略CSP详解「 网络安全常用术语解读 」同源策略SOP详解。
2023-0Day漏洞检测Tools)V1.6 HW-漏洞挖掘-src
08-23
17、畅捷通Plus_ajaxpro命令执行 18用友NC/Cloud bsh_servlet_BshServlet命令执行 19、金蝶云星空...35、华天动力OA未授权访问及SQL注入 36、致远OA_Ajaxdo_upload 37、亿赛通电子文档安全管理系统命令执行
2023-0Day漏洞检测Tools)V1.4 HW-漏洞挖掘-src
08-23
6、泛微EOffice未授权访问漏洞 7、泛微EOfficeSQL注入漏洞 8、绿盟SAS堡垒机任意用户登录漏洞 2023/8/11,V1.2更新漏洞利用如下: 9、大华智慧园区综合管理平台emap文件上传 10、大华智慧园区综合管理平台SQL...
U8cloud V3.6 3.5 3.2 3.1 3.0 3.1 U8C
QB2767846279
11-18 991
U8cloud V3.6 3.5 3.2 3.1 3.0 3.1 U8C
用友U8 cloud V3.6 3.5 3.2 3.1 3.2 3.0 2.7 2.6 2.5 2.3. 2.1
QB2767846279
03-27 1875
用友U8 cloud V3.6 3.5 3.2 3.1 3.2 3.0 2.7 2.6 2.5 2.3. 2.1
用友U8 cloud V3.0 U8cloudV2.7 U8C V2.6 U8CLOUDV2.5 u8cloudV2.3 注册
QB2767846279
10-20 3495
用友U8 cloud V3.0 注册加站加模块新购,可以新建用户 领域名称 产品名称 模块基础价格 每用户单价 购买约束说明 Domain Name Product Name Basic Price of Module Price of Per-license 企业建模平台 标准版
U8cloud3.x注册
DINOSAUR97的博客
07-08 1124
644563602
用友SQL注入/XXE/NC控制台绕过漏洞危害描述以及修复建议(只是文字)
最新发布
为了低调的博客
08-18 636
用友U8 Cloud MeasureQueryFrameAction SQL注入漏洞。yongyou-U8-Cloud-smartweb2-xxe 用友NC控制台密码绕过漏洞存在
用友U8-cloud_base64接口存在漏洞
m0_46604997的博客
04-03 677
U8 cloud用友推出的新一代云ERP,主要聚焦成长型、创新型企业,提供企业级云ERP整体解决方案,全面支持多组织业务协同、营销创新、智能财务、人力服务,构建产业链制造平台,融合用友云服务,实现企业互联网资源连接、共享、协同,赋能中国成长型企业高速发展、云化创新。U8 cloud base64 接口处存在SQL注入漏洞。攻击者可以窃取用户的隐私信息、业务数据等,造成用户信息泄露,更严重的是数据库服务器控制有很大风险被攻击者控制等相关安全问题。
用友GRP-U8 U8AppProxy任意文件上传漏洞复现+利用
0xSec
03-21 5803
用友 GRP-U8 U8AppProxy接口存在任意文件上传漏洞,攻击者通过漏洞可以获取服务器权限。
U8 cloud在client端获取登陆参数
m0_46401054的博客
01-25 499
【代码】U8 cloud在client端获取登陆参数。
用友U8 cloud servicedispatcher 反序列化漏洞(含批量验证poc)
weixin_43567873的博客
04-28 2460
用友U8 cloud servicedispatcher 反序列化漏洞(含批量验证poc)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiaochuhe--kaishui

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值