用友暢捷通T+ Ufida.T.SM.Login.UIP SQL注入漏洞復現~多注意哦!一定要做好備份!
[重要通告]如您遇疑難雜癥,本站支持知識付費業務,掃右邊二維碼加博主微信,可節省您寶貴時間哦!
最近又有網友陸續收到當地網監部門發布的漏洞文件,大致看了一下依然是,用友暢捷通T+ 前臺SQL注入漏洞復現(QVD-2023-13612)
現在除了打補丁,也沒別的辦法,但這補丁跟過家家似的,一會兒沒了,過幾天又出來了,還都是一個味道一個配方出品!
用友暢捷通T+ Ufida.T.SM.Login.UIP漏洞描述
暢捷通T+的某后臺功能點只校驗了權限,未對用戶的輸入進行過濾,導致在權限繞過后存在SQL注入漏洞,利用此漏洞攻擊者最終可以實現遠程命令執行。
用友暢捷通T+ Ufida.T.SM.Login.UIP影響范圍
暢捷通T+ 13.0
暢捷通T+ 16.0
漏洞復現,fofa語法:app="暢捷通-TPlus"
其實暢捷通的產品不光暢捷通T+有漏洞,其他版本也有;
1、用友GRP-U8 bx_historyDataCheck.jsp存在sql注入,攻擊者可利用該漏洞執行任意SQL語句,如查詢數據、下載數據、寫入webshell、執行系統命令以及繞過登錄限制等。
漏洞復現? ? fofa語法:app="用友-GRP-U8"
2、用友U8-Cloud upload.jsp 任意文件上傳漏洞
用友NC系列漏洞檢測利用工具
https://github.com/wgpsec/YongYouNcTool
用友:不讓BUG陪我過夜~~可一起過年!
問題未解決?付費解決問題加Q或微信 2589053300 (即Q號又微信號)右上方掃一掃可加博主微信
所寫所說,是心之所感,思之所悟,行之所得;文當無敷衍,落筆求簡潔。 以所舍,求所獲;有所依,方所成!
賞
支付寶贊助 
微信贊助
支付寶贊助微信贊助免責聲明,若由于商用引起版權糾紛,一切責任均由使用者承擔。
您必須遵守我們的協議,如您下載該資源,行為將被視為對《免責聲明》全部內容的認可->聯系老梁投訴資源 LaoLiang.Net部分資源來自互聯網收集,僅供用于學習和交流,請勿用于商業用途。如有侵權、不妥之處,請聯系站長并出示版權證明以便刪除。
敬請諒解! 侵權刪帖/違法舉報/投稿等事物聯系郵箱:service@laoliang.net
意在交流學習,歡迎贊賞評論,如有謬誤,請聯系指正;轉載請注明出處: » 用友暢捷通T+ Ufida.T.SM.Login.UIP SQL注入漏洞復現~多注意哦!一定要做好備份!
