漏洞描述
用友U8 CRM是一款企业级客户关系管理系统,旨在帮助企业高效管理客户关系、提升销售业绩和提供优质的客户服务。该漏洞存在于用友U8 CRM系统的/ajax/getufnumber.php文件的GetDefContactByAccount方法中,未经身份验证的攻击者可以通过漏洞执行任意SQL语句。攻击者可以利用该漏洞获取数据库中的敏感信息(如管理员后台密码、用户个人信息),甚至在高权限情况下向服务器中写入木马,进一步获取服务器系统权限。
用友U8 CRM /ajax/getufnumber.php GetDefContactByAccount SQL 注入漏洞
PoC代码
暂无