1. 墨知首页
  2. 漏洞

用友 U8cloud MeasureQueryByToolAction SQL注入漏洞 (MPS-qw90-6ekn)

漏洞
漏洞类型 SQL注入 发现时间 2024-03-19 漏洞等级 严重
MPS编号 MPS-qw90-6ekn CVE编号 漏洞影响广度 一般
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
用友 U8 Cloud 是用友软件公司开发的云端企业管理软件。
由于MeasureQueryByToolAction接口未使用SQLParamValidator.validate()方法过滤用户输入strMq参数,未授权攻击者可以利用该漏洞向应用程序的数据库中插入恶意的SQL代码,从而实现对数据库的非法访问和操作。
参考链接:https://www.oscs1024.com/hd/MPS-qw90-6ekn

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
参考链接:https://www.oscs1024.com/hd/MPS-qw90-6ekn

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-qw90-6ekn

https://security.yonyou.com/#/patchInfo?identifier=664002b12b284c468f231e3723230e84

(0)
上一篇 2024年3月25日 下午12:00
下一篇 2024年3月25日 下午12:00

相关推荐

  • Google Chrome V8< 13.6.86 类型混淆漏洞 漏洞

    Google Chrome V8< 13.6.86 类型混淆漏洞

    【高危】Google Chrome V8< 13.6.86 类型混淆漏洞 漏洞描述 Google Chrome 是美国谷歌(Google)公司的一款Web浏览器,V8 是 Google 开发的高性能开源 JavaScript 和 WebAssembly 引擎,广泛应用于 Chrome 浏览器和 Node.js 等环境。受影响版本中,V8 Turbosh…

    2025年7月15日
    0
  • PaddlePaddle < 2.6.0 存在命令注入漏洞 (CVE-2024-0521) 漏洞

    PaddlePaddle < 2.6.0 存在命令注入漏洞 (CVE-2024-0521)

    漏洞类型 代码注入 发现时间 2024-01-21 漏洞等级 严重 MPS编号 MPS-g8j9-m4lq CVE编号 CVE-2024-0521 漏洞影响广度 一般 漏洞危害 OSCS 描述 PaddlePaddle(飞桨)是百度研发的深度学习平台,提供了_wget_download函数通过wget进行文件下载。 PaddlePaddle 2.6.0之前版…

    2024年1月24日
    0
  • Apache ActiveMQ < 5.18.3 远程代码执行漏洞 (MPS-bd9c-7xsh) 漏洞

    Apache ActiveMQ < 5.18.3 远程代码执行漏洞 (MPS-bd9c-7xsh)

    漏洞类型 反序列化 发现时间 2023-10-25 漏洞等级 严重 MPS编号 MPS-bd9c-7xsh CVE编号 – 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache ActiveMQ 是美国阿帕奇(Apache)基金会的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。 ActiveMQ默认…

    2023年10月26日
    0

  • Amazon Redshift JDBC Driver<2.1.0.28 SQL注入漏洞 (CVE-2024-32888)

    漏洞类型 SQL注入 发现时间 2024-05-15 漏洞等级 严重 MPS编号 MPS-yg3n-dx5h CVE编号 CVE-2024-32888 漏洞影响广度 漏洞危害 OSCS 描述 Amazon Redshift 的 JDBC 驱动程序是一个 Type 4 JDBC 驱动程序,通过 Java 平台企业版提供的标准 JDBC 应用程序接口(API)实…

    漏洞 2024年5月16日
    0
  • Spring Security AuthenticatedVoter 方法验证不当漏洞 (CVE-2024-22257) 漏洞

    Spring Security AuthenticatedVoter 方法验证不当漏洞 (CVE-2024-22257)

    漏洞类型 访问控制不当 发现时间 2024-03-18 漏洞等级 高危 MPS编号 MPS-ucl7-dyox CVE编号 CVE-2024-22257 漏洞影响广度 广 漏洞危害 OSCS 描述 Spring Security 是基于Spring应用程序的认证和访问控制框架 Spring Security在处理Authentication参数时没有对nul…

    2024年3月19日
    0