用友 U8cloud MeasureQueryByToolAction SQL注入漏洞 (MPS-qw90-6ekn)

漏洞类型 SQL注入 发现时间 2024-03-19 漏洞等级 严重
MPS编号 MPS-qw90-6ekn CVE编号 漏洞影响广度 一般

漏洞危害

OSCS 描述
用友 U8 Cloud 是用友软件公司开发的云端企业管理软件。
由于MeasureQueryByToolAction接口未使用SQLParamValidator.validate()方法过滤用户输入strMq参数,未授权攻击者可以利用该漏洞向应用程序的数据库中插入恶意的SQL代码,从而实现对数据库的非法访问和操作。
参考链接:https://www.oscs1024.com/hd/MPS-qw90-6ekn

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
参考链接:https://www.oscs1024.com/hd/MPS-qw90-6ekn

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-qw90-6ekn

https://security.yonyou.com/#/patchInfo?identifier=664002b12b284c468f231e3723230e84

(0)
上一篇 2024年3月25日 下午12:00
下一篇 2024年3月25日 下午12:00

相关推荐

  • Windows Server NPS 远程代码执行漏洞 (MPS-56ge-38z4)

    漏洞类型 代码注入 发现时间 2023-08-21 漏洞等级 高危 MPS编号 MPS-56ge-38z4 CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 Windows Server 中的 Network Policy Server (NPS) 是一种网络访问控制器,用于限制用户和设备对网络资源的访问权限,其 IAS Extensi…

    2023年8月22日
    0
  • GitLab workspace 任意文件写入漏洞 (CVE-2024-0402)

    漏洞类型 相对路径遍历 发现时间 2024-01-26 漏洞等级 严重 MPS编号 MPS-ao1v-ghp4 CVE编号 CVE-2024-0402 漏洞影响广度 广 漏洞危害 OSCS 描述 GitLab 是基于Git的集成软件开发平台,workspace 是 GitLab 中用于运行隔离开发环境的虚拟沙箱。 GitLab 受影响版本中在用户创建 wor…

    2024年1月27日
    0
  • FFmpeg < 7.0 释放后使用漏洞 (CVE-2024-31578)

    漏洞类型 UAF 发现时间 2024-04-17 漏洞等级 高危 MPS编号 MPS-y94m-eo71 CVE编号 CVE-2024-31578 漏洞影响广度 一般 漏洞危害 OSCS 描述 FFmpeg 是处理多媒体内容的开源库和工具的集合。 FFmpeg < 7.0 版本中,由于av_hwframe_ctx_init函数中错误地假设frames_uni...

    漏洞 2024年4月22日
    0
  • Apache inlong JDBC URL反序列化漏洞(\t绕过) (CVE-2023-46227)

    漏洞类型 输入验证不恰当 发现时间 2023-10-19 漏洞等级 高危 MPS编号 MPS-xsb3-r8jf CVE编号 CVE-2023-46227 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache InLong 是开源的高性能数据集成框架,方便业务构建基于流式的数据分析、建模和应用。 受影响版本中,由于只对用户输入的 jdbc url 参数…

    2023年10月20日
    0
  • Reactor Netty HTTP Server 路径穿越漏洞 (CVE-2023-34062)

    漏洞类型 路径遍历 发现时间 2023-11-16 漏洞等级 高危 MPS编号 MPS-4391-uwmo CVE编号 CVE-2023-34062 漏洞影响广度 一般 漏洞危害 OSCS 描述 Netty 是一个用于开发Java网络应用程序的非阻塞 I/O框架,Reactor Netty是基于Netty框架的非阻塞请求客户端与服务端。 Reactor Ne…

    2023年11月17日
    0