U8cloud 全版本 IPFxxFileService任意文件上传漏洞

漏洞概况

用友U8Cloud是用友推出的新一代云ERP产品，主要聚焦于成长型、创新型企业，为其提供企业级的云ERP整体解决方案。

微步情报局监测到用友安全修复了一处任意文件上传漏洞。攻击者可未授权调用IPFxxFileService接口的文件写入方法写入任意文件，造成文件上传漏洞。

该漏洞利用方式简单，建议受影响用户尽快修复。

漏洞处置优先级(VPT)

漏洞影响范围

漏洞复现

修复方案

官方修复方案：

官方已发布补丁修复该漏洞，请尽快前往下载更新：

https://security.yonyou.com/#/noticeInfo?id=735

临时缓解措施：

• 可配置防护策略，限制访问漏洞相关路径。完整漏洞利用路径请通过微步漏洞情报查询。
• 如非必要，避免将资产暴露在互联网。