用友BIP 漏洞列表

文件上传漏洞发生在应用程序允许用户上传文件的功能中，如果上传功能未能正确地验证和限制上传文件的类型和内容，攻击者可能利用此漏洞上传恶意文件，如包含可执行代码的脚本文件，从而在服务器上执行任意命令，控制或破坏系统。

攻击者可利用此漏洞执行SQL命令,通过任意文件读取漏洞获取到用户敏感信息。

攻击者可利用此漏洞执行任意文件读取下载获取到用户敏感信息。

用友BIP是以数智平台+十大领域的场景服务+大规模生态为基本产品形态的融合服务群。用友BIP/bi/api/Portal/GetUserList接口存在信息泄露，攻击者可利用该漏洞获取管理员的账号密码相关信息

用友YonBIP（Yonyou Business Innovation Platform）R5旗舰版是用友公司在数字经济时代背景下，针对成长型、大型及巨型企业推出的一款商业创新平台。融合了先进且高可用技术平台和公共与关键商业应用与服务，支撑和运行客户的商业创新（业务创新、管理变革），具有数字化、智能化、高弹性、安全可信、社会化、全球化、平台化、生态化等特征。它是用友采用新一代信息技术，按照云原生、元数据驱动、中台化和数用分离的架构设计，涵盖平台服务、应用服务、业务服务与数据服务等形态，集工具、能力和资源服务为一体的平台型、生态化的云服务群。

用友BIP是一款集成多种数字化工具的企业级应用服务系统，旨在为企业提供财务、人力资源、供应链管理等全方位的业务管理支持。该系统通过云计算、人工智能、大数据等技术，帮助企业实现数字化转型、优化业务流程，并提升决策效率和运营能力。用友BIP存在信息泄露漏洞，攻击者通过构造特殊URL地址，读取系统敏感信息。

攻击者可利用此漏洞越权调用后台接口模拟前端页面操作的合法请求获取非功能权限范围内的系统用户及系统管理相关信息。

用友BIP是以数智平台+十大领域的场景服务+大规模生态为基本产品形态的融合服务群。用友BIP数据应用服务存在未授权访问，攻击者可利用该漏洞获取数据库账号密码相关信息

<span style="color: rgb(0, 0, 0);">老版本数据应用服务存在未授权访问，攻击者可利用该漏洞获取数据库相关信息或修改数据库表。</span>

<span style="color: black;">老版本数据应用服务登陆过程敏感信息明文传输，存在信息泄露漏洞风险</span>

用友 YonBIP 是用友软件公司推出的一款企业智能化平台，旨在通过集成多种业务应用和服务，帮助企业实现数字化转型，提高运营效率和决策智能。用友 YonBIP 存在反序列化代码执行漏洞，攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。