用友GRP-U8 /UploadFileData 接口存在任意文件上传漏洞

漏洞描述

上海企通数字科技有限公司（曾用名上海企通软件有限公司），是一家以管理软件和互联网应用的开发、咨询、营销、培训、实施、服务于一体的管理数字化服务公司。用友U8+ERP客户关系管理软件存在文件上传漏洞，攻击者可利用该漏洞获取服务器控制权。

相关漏洞推荐

CNNVD-201610-923: 用友 GRP-U8 Proxy SQL注入 POC

2025-09-01 | 用友GRP-U8 Proxy

用友GRP-u8存在XXE漏洞，该漏洞源于应用程序解析XML输入时没有进制外部实体的加载，导致可加载外部SQL语句，以及命令执行 title="用友GRP-U8行政事业内控管理软件"...
yonyou-grp-u8-app-proxy-uploadfile: 用友 GRP-U8 U8AppProxy 任意文件上传 POC

2025-09-01 | 用友GRP-U8 U8AppProxy

用友 GRP-U8 U8AppProxy接口存在任意文件上传漏洞，攻击者通过漏洞可以获取服务器权限。 fofa: title="用友GRP-U8行政事业内控管理软件"
yonyou-grp-u8-slbmbygr-jsp-sqli: 用友GRP-U8 slbmbygr.jsp 存在sql注入漏洞 POC

2025-09-01 | 用友GRP-U8

在用友GRP-U8的slbmbygr.jsp 参数存在SQL注入漏洞，由于用友GRP-U8未对用户的输入进行有效的过滤，直接将其拼接进了SQL查询语句中，导致系统出现SQL注入漏洞。 Fofa: a...
yonyou-grp-u8-bx_historyDataChecks-sqli: 用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞 POC

2025-09-01 | 用友GRP U8

用友GRP-U8 /u8qx/bx_historyDataCheck.jsp SQL注入漏洞修复方法：https://security.yonyou.com/#/noticeInfo?id=379 ...
yonyou-grp-u8-license-check-sqli: 用友GRP-U8 license_check.jsp 存在sql注入漏洞 POC

2025-09-01 | yonyou-grp-u8

用友 GRP-U8 license_check.jsp 存在sql注入，攻击者可利用该漏洞执行任意SQL语句，如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。 Fofa: ...

漏洞描述

PoC代码

相关漏洞推荐

CNNVD-201610-923: 用友 GRP-U8 Proxy SQL注入 POC

yonyou-grp-u8-app-proxy-uploadfile: 用友 GRP-U8 U8AppProxy 任意文件上传 POC

yonyou-grp-u8-slbmbygr-jsp-sqli: 用友GRP-U8 slbmbygr.jsp 存在sql注入漏洞 POC

yonyou-grp-u8-bx_historyDataChecks-sqli: 用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞 POC

yonyou-grp-u8-license-check-sqli: 用友GRP-U8 license_check.jsp 存在sql注入漏洞 POC