用友畅捷通Tplus远程命令执行漏洞
日期:2023-06-12 17:04:41 发布人:信息化建设中心 浏览量:1410
漏洞概要
|
漏洞名称 |
用友Tplus远程命令执行漏洞 |
|
发布时间 |
2023年6月9日 |
|
组件名称 |
用友畅捷通Tplus |
|
影响范围 |
用友畅捷通Tplus 13.0 用友畅捷通Tplus 16.0 |
|
漏洞类型 |
命令执⾏ |
|
利用条件 |
1、用户认证:未知 2、前置条件:未知 3、触发方式:远程 |
|
综合评价 |
<综合评定利用难度>:未知。 <综合评定威胁等级>:高危,能造成代码执行。 |
|
官方解决方案 |
已发布 |
漏洞分析
组件介绍
“用友畅捷通Tplus”是一款灵动、智慧、时尚的互联网管理软件,主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。
漏洞描述
2023年6月9日,深信服安全团队监测到一则用友畅捷通Tplus组件存在远程代码执行漏洞的信息,漏洞威胁等级:高危。
用友畅捷通Tplus存在前台远程代码执行漏洞,攻击者可利用GetStoreWarehouseByStore方法注入序列化的payload,执行任意命令。最终造成服务器敏感性信息泄露或代码执行。
影响范围
目前受影响的版本:
用友畅捷通Tplus 13.0
用友畅捷通Tplus 16.0
解决方案
修复建议
官方修复建议
当前官方已发布安全补丁,建议受影响的用户及时联系产商安装安全补丁。
- 上一篇:微软补丁日安全通告|6月份
- 下一篇:Google Chrome 类型混淆漏洞