漏洞描述
用友GRP-U8是一款广泛应用于企业管理的ERP系统,提供财务、供应链、人力资源等模块的综合管理功能。其 /servlet/PayReturnForWcp 接口存在XML外部实体(XXE)注入漏洞,攻击者可以通过构造恶意的XML数据包,利用该漏洞读取服务器上的敏感文件或执行其他恶意操作,从而对系统的安全性造成威胁。
用友GRP-U8 /servlet/PayReturnForWcp XML 外部实体注入漏洞
PoC代码
暂无相关漏洞推荐
-
yonyou-grp-u8-bx_historyDataChecks-sqli: 用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞 POC
2025-09-01 | 用友GRP U8用友GRP-U8 /u8qx/bx_historyDataCheck.jsp SQL注入漏洞 修复方法:https://security.yonyou.com/#/noticeInfo?id=379 ... -
yonyou-u8-ufgovbank-xxe: 用友GRP-U8 ufgovbank XXE漏洞 POC
2025-09-01 | 用友GRP U8用友GRP-U8的ufgovbank接口存在XXE漏洞,攻击者可以在xml中构造恶意命令,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。 Fofa: app.name=&q... -
用友GRP U8 /u8qx/SmartUpload01.jsp 命令执行漏洞 无POC
2025-07-25 | 用友GRP U8用友GRP U8 是一款企业管理软件,该漏洞存在于其文件上传功能中,攻击者可以通过上传特制的文件,执行恶意代码,实现服务器的远程控制,进而可能造成敏感信息泄露、数据篡改等危害。 -
用友grp u8 ufgovbank 存在xxe 无POC
2023-11-06 | 用友grp u8 ufgovbankxxe -
LemonLDAP::NG 操作系统命令注入漏洞 无POC
2025-09-20 00:03:21 | LemonLDAP::NGLemonLDAP::NG是LemonLDAP::NG开源的一套Web单点登录和访问管理软件。 LemonLDAP::NG 2.16.7之前版本和2.17版本至2.21.3之前版本存在操作系统命令注入...