漏洞分析

组件介绍

用友GRP-U8是一款企业管理软件，专为大型企业提供财务、采购、库存、生产等业务管理解决方案。

漏洞描述

2023年9月22日，深信服安全团队监测到一则用友GRP-U8组件存在SQL注入漏洞的信息，漏洞威胁等级：高危。

该漏洞是由于用友GRP-U8未对用户的输入进行有效的过滤，直接将其拼接进了SQL查询语句中，导致系统出现SQL注入漏洞。攻击者可利用该漏洞在未授权的情况下，发送构造好的恶意数据，导致感敏信息泄露。

影响范围

目前受影响的用友GRP-U8版本：

用友GRP-U8 U8Manager版本B、C、G系列

解决方案

修复建议

官方修复建议

当前官方已发布受影响版本的对应补丁，建议受影响的用户及时更新官方的安全补丁。