用友畅捷通 漏洞列表

在用友畅捷通T+系统中，AddressSettingController 的 TestConnnect 方法存在服务端请求伪造（SSRF）漏洞。攻击者可以利用该漏洞发送恶意请求，访问内部网络资源或敏感信息。 fofa: app="畅捷通-TPlus"

畅捷CRM系统newleadset存在SQL注入漏洞 ，攻击者可以利用该漏洞获取网站后台数据库敏感信息。 FOFA: app="畅捷通-畅捷CRM"

用友 畅捷通远程通 GNRemote.dll SQL注入漏洞，攻击者通过SQL注入可以获取服务器敏感信息或者使用万能密码登录设备 body="远程通CHANJET_Remote"

用友 畅捷通T+ DownloadProxy.aspx文件存在任意文件读取漏洞，攻击者通过漏洞可以获取服务器上的敏感文件 app="畅捷通-TPlus"

用友畅捷通-TPlus‌是由用友集团成员企业畅捷通公司开发的一款企业级财务管理工具，旨在帮助企业实现财务管理的现代化和智能化。作为畅捷通旗下的核心产品，TPlus集成了财务核算、资金管理、预算控制等多项核心功能，通过自动化和智能化的手段，提高企业财务管理效率，降低运营成本。用友畅捷通-TPlus系统接口FileUploadHandler.ashx存在任意文件上传漏洞，允许攻击者上传恶意文件到服务器，可能导致远程代码执行、网站篡改或其他形式的攻击，严重威胁系统和数据安全。

用友畅捷通CRM存在SQL注入漏洞。此漏洞是由于newleadset.php对用户发送的请求缺乏校验导致的。

畅捷通 T+ 是一款灵动，智慧，时尚的基于互联网时代开发的管理软件，主要针对中小型工贸与商贸企业，尤其适合有异地多组织机构（多工厂，多仓库，多办事处，多经销商）的企业，涵盖了财务，业务，生产等领域的应用畅捷通keyEdit接口处存在SQL注入漏洞，攻击者未经授权可以访问数据库中的数据，从而盗取用户数据，造成用户信息泄露

用友畅捷通CRM forgetpswd.php 存在SQL注入漏洞

用友畅捷通T+存在任意文件下载漏洞，未经身份认证的远程攻击者可构造特定请求下载读取任意文件获取大量敏感信息。

用友畅捷通T+存在任意文件上传漏洞，未经身份认证的远程攻击者可构造特定请求上传恶意文件到目标系统，从而在服务器上执行任意代码。