用友政务A++ 漏洞列表

文件上传漏洞发生在应用程序允许用户上传文件的功能中，如果上传功能未能正确地验证和限制上传文件的类型和内容，攻击者可能利用此漏洞上传恶意文件，如包含可执行代码的脚本文件，从而在服务器上执行任意命令，控制或破坏系统。

<span style="color: rgb(96, 98, 102);">用友政务公司获知财务云V8.20-8.30门户存在任意文件上传安全漏洞，该接口未限制上传文件的类型，存在恶意上传文件的风险，主要存在漏洞接口如下：/ptp-cms/images/ckeditorUpload。现针对上述漏洞进行完善。</span>

用友政务 A++ V832产品存在未授权访问漏洞，此漏洞是当用户访问特定接口时，未充分验证用户的身份而导致的。

用友政务A++ getclassifytree 存在未授权访问漏洞

用友政务A++政府财务云存在未授权访问，泄露系统存在的用户敏感信息

用友政务 A++ selectGlaDatasourcePreview 接口存在SQL注入漏洞，攻击者利用此漏洞可以获取数据库敏感信息。

用友政务A++政府财务云/ptp-cms/images/ckeditorUpload存在任意文件上传漏洞，攻击者可利用此漏洞上传任意格式的文件

用友政务A++政府财务云file-download存在任意文件读取漏洞，攻击者可利用此漏洞下载服务器上已知绝对路径的任意文件