漏洞概況
U8 cloud是X友推出的新一代云ERP,主要聚焦成長型���、創(chuàng)新型企業(yè)����,提供企業(yè)級云ERP整體解決方案。
近日用友官方發(fā)布了數(shù)個U8 Cloud的漏洞補丁更新���,修復(fù)了反序列化及文件刪除的漏洞����。這些漏洞影響U8 Cloud全版本�,且無需認證直接遠程利用,攻擊者利用漏洞可刪除服務(wù)器任意文件或直接獲取服務(wù)器權(quán)限�����。
影響版本
U8 Cloud全版本
漏洞信息
CacheInvokeServlet接口反序列化漏洞(CVE-2023-33415)
FileTransportServlet接口反序列化漏洞(CVE-2023-35547)
PrintTemplateFileServlet接口任意文件刪除漏洞(CVE-2023-32473)
修復(fù)方案
1�、官方修復(fù)方案:
官方已經(jīng)發(fā)布安全補丁�,請盡快升級到最新版�����,相關(guān)鏈接如下所示:
https://security.yonyou.com/#/patchInfo?foreignKey=dc9efa413a644d88b55403cdc150cfea
https://security.yonyou.com/#/patchInfo?foreignKey=eb893884876e4bc2acd04ee40dc4cb5f
https://security.yonyou.com/#/patchInfo?foreignKey=456abb6ce5544ef4a0065fd3a22c1552
2�����、臨時修復(fù)方案:
(1)如非必要�,不將U8 Cloud暴露在公網(wǎng)上
(2)使用ACL網(wǎng)絡(luò)策略限制訪問來源
(3)使用防護類設(shè)備對相關(guān)接口進行防護
該文章在 2024/2/4 12:18:23 編輯過
400 186 1886
