1. 墨知首页
  2. 漏洞

用友 U8cloud MeasureQueryByToolAction SQL注入漏洞 (MPS-qw90-6ekn)

漏洞
漏洞类型 SQL注入 发现时间 2024-03-19 漏洞等级 严重
MPS编号 MPS-qw90-6ekn CVE编号 漏洞影响广度 一般
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
用友 U8 Cloud 是用友软件公司开发的云端企业管理软件。
由于MeasureQueryByToolAction接口未使用SQLParamValidator.validate()方法过滤用户输入strMq参数,未授权攻击者可以利用该漏洞向应用程序的数据库中插入恶意的SQL代码,从而实现对数据库的非法访问和操作。
参考链接:https://www.oscs1024.com/hd/MPS-qw90-6ekn

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
参考链接:https://www.oscs1024.com/hd/MPS-qw90-6ekn

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-qw90-6ekn

https://security.yonyou.com/#/patchInfo?identifier=664002b12b284c468f231e3723230e84

(0)
上一篇 2024年3月25日 下午12:00
下一篇 2024年3月25日 下午12:00

相关推荐

  • Strapi <4.10.8 敏感信息泄漏漏洞 (CVE-2023-34235) [有POC] 漏洞

    Strapi <4.10.8 敏感信息泄漏漏洞 (CVE-2023-34235) [有POC]

    漏洞类型 未授权敏感信息泄露 发现时间 2023/7/26 漏洞等级 严重 MPS编号 MPS-mxgn-froy CVE编号 CVE-2023-34235 漏洞影响广度 一般 漏洞危害 OSCS 描述 Strapi 是一个开源的 headless 内容管理系统,可将内容的创建与展示进行分离。Strapi 4.10.8之前版本中,由于 Knex 查询允许更改…

    2023年8月11日
    0
  • 腾讯QQ Windows版客户端1-click远程代码执行风险 (MPS-0z86-njh3) [有POC] 漏洞

    腾讯QQ Windows版客户端1-click远程代码执行风险 (MPS-0z86-njh3) [有POC]

    漏洞类型 从非可信控制范围包含功能例程 发现时间 2023-08-21 漏洞等级 高危 MPS编号 MPS-0z86-njh3 CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 QQ 是一个多平台即时通信软件。QQ Windows版客户端 9.7.15之前版本中存在逻辑设计缺陷,当消息中包含引用的文件时,直接点击即完成下载和打开操作,缺…

    2023年8月22日
    0
  • Apache OFBiz <12.12.18 路径遍历漏洞 (CVE-2024-25065) 漏洞

    Apache OFBiz <12.12.18 路径遍历漏洞 (CVE-2024-25065)

    漏洞类型 路径遍历 发现时间 2024-02-29 漏洞等级 高危 MPS编号 MPS-rfy8-vc9m CVE编号 CVE-2024-25065 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache OFBiz 是一个开源的企业资源计划系统。 Apache OFBiz 中由于未充分验证用户输入的 contextPath 而导致存在路径遍历漏洞,未授权…

    2024年2月29日
    0
  • ZooKeeper SASL 身份验证绕过漏洞 (CVE-2023-44981) 漏洞

    ZooKeeper SASL 身份验证绕过漏洞 (CVE-2023-44981)

    漏洞类型 通过用户控制密钥绕过授权机制 发现时间 2023-10-11 漏洞等级 高危 MPS编号 MPS-bznr-672x CVE编号 CVE-2023-44981 漏洞影响广度 一般 漏洞危害 OSCS 描述 ZooKeeper 是开源的分布式应用程序协调服务,数据树是指Apache ZooKeeper中存储数据的层次结构,SASL是一种用于进行身份验…

    2023年10月12日
    0
  • NPM组件 @wptv/components 等窃取主机敏感信息 漏洞

    NPM组件 @wptv/components 等窃取主机敏感信息

    【高危】NPM组件 @wptv/components 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @wptv/components 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-zk9a-dgnh 处置建议 强烈建议修复 发现时间 2025-07-23 投毒仓库 npm 投…

    2025年7月23日
    0