用友GRP U8 漏洞列表

用友GRP-U8 /u8qx/bx_historyDataCheck.jsp SQL注入漏洞 修复方法：https://security.yonyou.com/#/noticeInfo?id=379 Fofa: app="用友-GRP-U8" Hunter: app.name="用友GRP-U8 OA" ZoomEye: app:"用友GRP-U8"

用友GRP-U8的ufgovbank接口存在XXE漏洞，攻击者可以在xml中构造恶意命令，造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。 Fofa: app.name="用友GRP-U8 OA"

用友GRP-U8是一款广泛应用于企业管理的ERP系统，提供财务、供应链、人力资源等模块的综合管理功能。其 /servlet/PayReturnForWcp 接口存在XML外部实体（XXE）注入漏洞，攻击者可以通过构造恶意的XML数据包，利用该漏洞读取服务器上的敏感文件或执行其他恶意操作，从而对系统的安全性造成威胁。

用友GRP U8 是一款企业管理软件，该漏洞存在于其文件上传功能中，攻击者可以通过上传特制的文件，执行恶意代码，实现服务器的远程控制，进而可能造成敏感信息泄露、数据篡改等危害。

用友GRP-U8行政事业财务管理软件是用友公司专注于国家电子政务事业，基于云计算技术所推出的新一代产品，是我国行政事业财务领域最专业的政府财务管理软件。通过构造XML内容，导致可加载恶意外部文件和代码，造成任意文件读取，命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

用友-GRP-U8系统 SmartUpload01.jsp存在文件上传。攻击者可以上传代码，获取服务器权限

xxe

用友grp u8 /u8qx/SmartUpload01.jsp 任意文件上传，攻击者可以执行代码

用友GRP-U8R10行政事业财务管理软件是用友公司专注于电子政务事业，基于云计算技术所推出的新一代产品，是我国行政事业财务领域专业的财务管理软件。用友GRP-U8存在SQL注入漏洞，攻击者可以构造恶意sql语句获取数据库信息。

用友GRP-U8 /u8qx/bx_historyDataCheck.jsp SQL注入漏洞

用友GRP-U8存在信息泄露

用友是中国最大的管理软件、ERP软件、集团管理软件、人力资源管理软件、客户关系管理软件及小型企业管理软件提供商之一，其中用友U8系统存可直接访问log日志，泄露敏感信息

用友GRP-U8管理软件是用友公司专注于国家电子政务事业,基于云计算技术所推出的新一代产品,是我国行政事业财务领域最专业的政府财务管理软件。用友GRP-U8管理软件 U8AppProxy 存在任意文件上传漏洞，攻击者可上传webshell获取服务器权限。

用友GRP-U8 /EBankTaskServlet 路径存在任意文件上传漏洞

用友GRP-U8 /cm_info_content.jsp 路径存在SQL注入漏洞

【漏洞对象】用友oa 【涉及版本】U8 TaskServiceServlet 【漏洞描述】 用友GRP-U8 TaskServiceServlet 文件读取漏洞

【漏洞对象】用友-GRP-U8系统 【漏洞描述】用友-GRP-U8系统persionTreeServlet文件bmdm参数存在sql注入，可造成信息数据泄露，攻击者可利用该漏洞执行SQL指令，甚至入侵服务器。