狠狠色丁香婷婷综合尤物/久久精品综合一区二区三区/中国有色金属学报/国产日韩欧美在线观看 - 国产一区二区三区四区五区tv

漏洞概況

U8 cloud是X友推出的新一代云ERP，主要聚焦成長型、創新型企業，提供企業級云ERP整體解決方案。

近日用友官方發布了數個U8 Cloud的漏洞補丁更新，修復了反序列化及文件刪除的漏洞。這些漏洞影響U8 Cloud全版本，且無需認證直接遠程利用，攻擊者利用漏洞可刪除服務器任意文件或直接獲取服務器權限。

影響版本

U8 Cloud全版本

漏洞信息

• CacheInvokeServlet接口反序列化漏洞（CVE-2023-33415）

• 通過該接口發送精心構造的反序列化數據可在服務器上執行任意代碼，獲取服務器權限。



• FileTransportServlet接口反序列化漏洞（CVE-2023-35547）

• 通過該接口發送精心構造的反序列化數據可在服務器上執行任意代碼，獲取服務器權限。



• PrintTemplateFileServlet接口任意文件刪除漏洞（CVE-2023-32473）

• 參數控制不嚴格，攻擊者通過構造Get請求可直接刪除服務器上文件。

修復方案

1、官方修復方案：

官方已經發布安全補丁，請盡快升級到最新版，相關鏈接如下所示：

https://security.yonyou.com/#/patchInfo?foreignKey=dc9efa413a644d88b55403cdc150cfea

https://security.yonyou.com/#/patchInfo?foreignKey=eb893884876e4bc2acd04ee40dc4cb5f

https://security.yonyou.com/#/patchInfo?foreignKey=456abb6ce5544ef4a0065fd3a22c1552

2、臨時修復方案：

（1）如非必要，不將U8 Cloud暴露在公網上

（2）使用ACL網絡策略限制訪問來源

（3）使用防護類設備對相關接口進行防護