U8cloud 全版本 IPFxxFileService任意文件上传漏洞
漏洞概况
用友U8Cloud是用友推出的新一代云ERP产品,主要聚焦于成长型、创新型企业,为其提供企业级的云ERP整体解决方案。
微步情报局监测到用友安全修复了一处任意文件上传漏洞。攻击者可未授权调用IPFxxFileService接口的文件写入方法写入任意文件,造成文件上传漏洞。
该漏洞利用方式简单,建议受影响用户尽快修复。
漏洞处置优先级(VPT)
漏洞影响范围
漏洞复现
修复方案
官方修复方案:
官方已发布补丁修复该漏洞,请尽快前往下载更新:
https://security.yonyou.com/#/noticeInfo?id=735
临时缓解措施:
- 可配置防护策略,限制访问漏洞相关路径。完整漏洞利用路径请通过微步漏洞情报查询。
- 如非必要,避免将资产暴露在互联网。