组件介绍

用友U8-OA(U8协同办公软件)，面向广大的企事业组织管理而设计，是基于互联网的高效协同工作平台。它融入先进的协同管理理念，运用领先的网络技术，切实有效的解决企事业组织工作 管理中的关键应用。利用它可把日常工作管理中的业务、事件等信息在单位、部门、组群、个人之间进行及时高效、有序可控、全程共享的沟通和处理。是一套非常适合国情的、并具有很高性价比的软件。

漏洞描述

2021年4月26日，深信服安全团队监测到一则用友U8 OA组件存在SQL注入漏洞的信息，漏洞编号：暂无，漏洞威胁等级：高危。

该漏洞是由于test.jsp页面未对用户的输入做严格的过滤，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行SQL注入攻击，最终造成信息泄露或恶意文件上传。

影响范围

用友OA由于其先进的协同管理理念和网络技术被广泛使用，成为最流行的企业OA软件之一。在国内，可能受漏洞影响的资产广泛分布于各省份，广东、辽宁、重庆等省市接近 70%，今年曝出的漏洞可以导致webshell上传，漏洞影响力较大。

目前受影响的用友OA版本：

用友U8 OA

官方修复建议

当前官方暂未发布受影响版本的对应补丁，建议受影响的用户及时关注更新官方的安全补丁。链接如下：

https://www.oyonyou.com/