关于用友GRP-U8行政事业内控管理软件(新政府会计制度专版)存在命令执行漏洞的安全通告
漏洞概述
用友GRP-U8R10产品官方在售及提供服务的版本为U8Manager,产品分B、C,G三个产品系列,以上受到本次通报漏洞的影响。
用友政务公司获知用友GRP-U8行政事业内控管理软件(新政府会计制度专版)存在命令执行漏洞后,第一时间组织团队进行应急响应,分析处理漏洞问题并发布相关解决补丁,并对相关支持人员进行培训。本次漏洞影响数据库类型为MSSQL的项目,体现在对扩展存储过程xp_cmdshell使用不当,产生提权,被利用后结合特定Shell脚本,会造成一定风险(本次临时补丁同步对相似sp_oacreate也进行了处理)。
为了尽快实现用户现场的产品升级,修复漏洞,避免造成损失,本次提供修复补丁,请广大服务厂商,尽快参照执行。
关闭数据库以上存储过程功能或者安装第三方杀毒软件也可解决此问题。
紧急补丁修复解决方案:
U8产品部已通过微信公众号(用友政务GRPU8)发布漏洞解决方案,请所有渠道总经理、技术支持部,联动向下传达到客户和沟通群。
漏洞得分
6.7
更新时间
2022-12-26
修复版本
名称:U8cloud+manager+用友-GRP-U8-行政事业内控管理软件(新政府会计制度专版)存在命令执行漏洞的安全补丁,适用版本:Manager,发布时间:2022-12-26
补丁名称
补丁202211226(20221226T163250).txt
本站不提供下载资料的技术支持。使用者必须具备技术能力并自行解决问题!否则请勿下载。