漏洞描述
用友U8CRM系统中的import.php文件上传功能存在严重的安全漏洞。由于该功能缺乏有效的权限控制和文件类型验证,攻击者可以在未授权的情况下上传任意文件。攻击者通过发送特制的POST请求,利用这个漏洞上传包含恶意代码的文件,从而在服务器上执行任意代码,导致系统被攻陷。
用友CRM客户关系管理系统 import.php 任意文件上传漏洞
PoC代码
暂无相关漏洞推荐
- WordPress Plugin Alone Theme /wp-admin/admin-ajax.php beplus_import_pack_install_plugin 文件上传漏洞(CVE-2025-5394)
- POC wp-importer-log-disclosure: WordPress Importer - Error Log Disclosure
- 用友NC /portal/pt/portalcombo/importCombo XML 外部实体注入漏洞
- 天锐股份 绿盾审批系统 /config/importDate.do 存在任意文件上传漏洞
- 用友NC /portal/pt/infopathimport/importExcelTemplate pageId 文件上传漏洞
- 关于portal端importExcelTemplate接口任意文件上传漏洞修复通告
- POC Smartbi /imageimport.jsp 存在任意文件上传
- 用友NC importTemplate XML实体注入(XXE)漏洞
- POC 用友NC importExcelTemplate 任意文件上传
- 用友NC importCombo XML实体注入(XXE)漏洞
- POC CVE-2019-17228: Motors Car Dealer & Classified Ads <= 1.4.0 - Unauthenticated settings import/export
- POC byzoro-smart-importhtml-rce: 百卓 Smart importhtml.php 远程命令执行漏洞
- POC jinhe-oa-addressimportpub-xxe: 金和OA AddressImportPub.aspx XXE漏洞