漏洞描述 用友 U8 CRM客户关系管理系统 checkselectpartapply.php文件存在SQL注入漏洞,未经身份验证的攻击者通过漏洞执行任意SQL语句,调用xp_cmdshell写入后门文件,执行任意代码,从而获取到服务器权限。
相关漏洞推荐 POC yonyou-u8-crm-fileread: 用友U8 CRM V13-V16.5系统任意文件读取 POC yonyou-u8-crm-getemaildata-uploadfile: 用友 U8 CRM客户关系管理系统 getemaildata.php 任意文件上传漏洞 用友U8+crm bgt/recievesms.php存在sql注入漏洞 用友U8 CRM /ajax/getufnumber.php GetDefContactByAccount SQL 注入漏洞