用友 U8cloud MeasureQueryByToolAction SQL注入漏洞 (MPS-qw90-6ekn)

漏洞类型 SQL注入 发现时间 2024-03-19 漏洞等级 严重
MPS编号 MPS-qw90-6ekn CVE编号 漏洞影响广度 一般

漏洞危害

OSCS 描述
用友 U8 Cloud 是用友软件公司开发的云端企业管理软件。
由于MeasureQueryByToolAction接口未使用SQLParamValidator.validate()方法过滤用户输入strMq参数,未授权攻击者可以利用该漏洞向应用程序的数据库中插入恶意的SQL代码,从而实现对数据库的非法访问和操作。
参考链接:https://www.oscs1024.com/hd/MPS-qw90-6ekn

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
参考链接:https://www.oscs1024.com/hd/MPS-qw90-6ekn

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-qw90-6ekn

https://security.yonyou.com/#/patchInfo?identifier=664002b12b284c468f231e3723230e84

(0)
上一篇 2024年3月25日 下午12:00
下一篇 2024年3月25日 下午12:00

相关推荐

  • 禅道项目管理系统身份认证绕过风险 (MPS-djcs-koe8)

    漏洞类型 身份验证不当 发现时间 2024-04-26 漏洞等级 高危 MPS编号 MPS-djcs-koe8 CVE编号 – 漏洞影响广度 一般 漏洞危害 OSCS 描述 禅道(ZenTao)项目管理系统是国产开源管理软件,提供整套工具来帮助团队管理整个软件开发生命周期,包括需求管理、迭代计划、任务分配、缺陷跟踪、文档管理和测试用例管理等功能。…

    漏洞 2024年4月26日
    0
  • Redis SORT_RO命令可绕过 ACL 配置 (CVE-2023-41053)

    漏洞类型 权限管理不当 发现时间 2023-09-07 漏洞等级 中危 MPS编号 MPS-2pvi-xqr4 CVE编号 CVE-2023-41053 漏洞影响广度 广 漏洞危害 OSCS 描述 Redis 是一个开源的键值型非关系数据库,SORT_RO命令用于对存储在 Redis 中的数据进行排序,ACL 配置指 Redis 的访问控制列表。 受影响版本…

    2023年9月11日
    0
  • HashiCorp Vault 拒绝服务漏洞 (CVE-2023-5954)

    漏洞类型 内存泄漏 发现时间 2023-11-10 漏洞等级 中危 MPS编号 MPS-5zl0-enty CVE编号 CVE-2023-5954 漏洞影响广度 广 漏洞危害 OSCS 描述 HashiCorp Vault 是用于秘密管理、加密即服务和特权访问管理的工具 在受影响版本中,触发策略检查的 HashiCorp Vault 和 Vault Ente…

    2023年11月10日
    0
  • SOFARPC< 5.12.0 反序列化漏洞 (CVE-2024-23636)

    漏洞类型 反序列化 发现时间 2024-01-24 漏洞等级 严重 MPS编号 MPS-rm4h-is76 CVE编号 CVE-2024-23636 漏洞影响广度 小 漏洞危害 OSCS 描述 SOFARPC 是一个高性能、高扩展性、生产级 Java RPC 框架。 SOFARPC 默认使用 SOFA Hessian 协议来反序列化接收到的数据,而 SOFA…

    2024年1月25日
    0
  • OpenSSH <9.6 命令注入漏洞 (CVE-2023-51385)

    漏洞类型 OS命令注入 发现时间 2023-12-19 漏洞等级 高危 MPS编号 MPS-9rip-l1u7 CVE编号 CVE-2023-51385 漏洞影响广度 广 漏洞危害 OSCS 描述 OpenSSH 是使用 SSH 协议进行远程登录的连接工具。 在OpenSSH 9.6版本之前的ssh中,如果用户名或主机名中含有shell元字符(如 | &#8…

    2023年12月20日
    0