用友畅捷通T+ Ufida.T.SM.Login.UIP SQL注入漏洞复现~多注意哦!一定要做好备份!
[重要通告]如您遇疑难杂症,本站支持知识付费业务,扫右边二维码加博主微信,可节省您宝贵时间哦!
最近又有网友陆续收到当地网监部门发布的漏洞文件,大致看了一下依然是,用友畅捷通T+ 前台SQL注入漏洞复现(QVD-2023-13612)
现在除了打补丁,也没别的办法,但这补丁跟过家家似的,一会儿没了,过几天又出来了,还都是一个味道一个配方出品!
用友畅捷通T+ Ufida.T.SM.Login.UIP漏洞描述
畅捷通T+的某后台功能点只校验了权限,未对用户的输入进行过滤,导致在权限绕过后存在SQL注入漏洞,利用此漏洞攻击者最终可以实现远程命令执行。
用友畅捷通T+ Ufida.T.SM.Login.UIP影响范围
畅捷通T+ 13.0
畅捷通T+ 16.0
漏洞复现,fofa语法:app="畅捷通-TPlus"
其实畅捷通的产品不光畅捷通T+有漏洞,其他版本也有;
1、用友GRP-U8 bx_historyDataCheck.jsp存在sql注入,攻击者可利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。
漏洞复现 fofa语法:app="用友-GRP-U8"
2、用友U8-Cloud upload.jsp 任意文件上传漏洞
用友NC系列漏洞检测利用工具
https://github.com/wgpsec/YongYouNcTool
用友:不让BUG陪我过夜~~可一起过年!
问题未解决?付费解决问题加Q或微信 2589053300 (即Q号又微信号)右上方扫一扫可加博主微信
所写所说,是心之所感,思之所悟,行之所得;文当无敷衍,落笔求简洁。 以所舍,求所获;有所依,方所成!
赏
支付宝赞助
微信赞助
免责声明,若由于商用引起版权纠纷,一切责任均由使用者承担。
您必须遵守我们的协议,如您下载该资源,行为将被视为对《免责声明》全部内容的认可->联系老梁投诉资源 LaoLiang.Net部分资源来自互联网收集,仅供用于学习和交流,请勿用于商业用途。如有侵权、不妥之处,请联系站长并出示版权证明以便删除。
敬请谅解! 侵权删帖/违法举报/投稿等事物联系邮箱:service@laoliang.net
意在交流学习,欢迎赞赏评论,如有谬误,请联系指正;转载请注明出处: » 用友畅捷通T+ Ufida.T.SM.Login.UIP SQL注入漏洞复现~多注意哦!一定要做好备份!