漏洞描述
用友政务公司获知用友GRP-U8内控管理软件WSDL接口信息泄露漏洞后,第一时间组织团队进行应急响应,分析处理漏洞问题并发布相关解决补丁,并对相关支持人员进行培训。本次漏洞表现1主要是在服务地址拼接/services/xxx路径后,所有wsdl接口均能未授权访问,存在一定的安全隐患;表现2是StudentWebService存在SSRF漏洞。
关于用友GRP-U8内控管理软件WSDL接口(或services/xx)存在信息泄露漏洞的安全通告
PoC代码
暂无相关漏洞推荐
- 用友GRP-U8 /ufgovbank XML 外部实体注入漏洞
- yonyou-grp-u8-logs-disclosure: 用友 GRP-U8 管理平台 logs 敏感信息泄露
- 用友GRP-U8 /servlet/PayReturnForWcp XML 外部实体注入漏洞
- POC yonyou-grp-u8-app-proxy-uploadfile: 用友 GRP-U8 U8AppProxy 任意文件上传
- POC yonyou-grp-u8-bx_historyDataChecks-sqli: 用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞
- POC yonyou-grp-u8-fileupload: 用友 GRP U8 FileUpload存在任意文件上传漏洞
- POC yonyou-grp-u8-license-check-sqli: 用友GRP-U8 license_check.jsp 存在sql注入漏洞
- POC yonyou-grp-u8-proxy-xxe-sqli: 用友 GRP-U8 Proxy XXE-SQL注入漏洞
- POC yonyou-grp-u8-selectdmje-jsp-sqli: 用友GRP-U8 selectdmje.jsp 存在sql注入漏洞
- POC yonyou-grp-u8-slbmbygr-jsp-sqli: 用友GRP-U8 slbmbygr.jsp 存在sql注入漏洞
- POC yonyou-grp-u8-upload-file-data: 用友 GRP-U8 UploadFileData 任意文件上传漏洞
- POC yonyou-grp-u8-uploadfiledata: 用友 GRP-U8 UploadFileData 任意文件上传
- POC yonyou-u8-ufgovbank-xxe: 用友GRP-U8 ufgovbank XXE漏洞