关于用友政务A++V8.31产品(selectGlaDatasourcePreview接口)存在SQL注入漏洞的安全通告
漏洞概述
一、 漏洞描述
用友政务公司获知A++V831 存在SQL注入漏洞,第一时间组织团队进行应急处理,产生的原因主要为接口设计导致权限验证不完整。使用用友cwy系统的站点存在接口可以直接执行SQL语句/gla/dataSource/selectGlaDatasourcePreview。具体参数包含exe_sql、pageNumber、pageSize,且该接口无需鉴别信息可访问数据库,并查询到数据库的字段信息等。现针对该漏洞进行完善。
二、影响版本
用友政务A++V8.31产品官方在售及提供服务器的版本,受本次通报漏洞的影响。为了尽快落实用户现场和产品升级,修复漏洞,避免造成损失,本次提供修复补丁,请广大服务厂商,尽快参照执行。
三、修复方案
1、进行接口严格权限控制,授权才能进行访问。
2、对参数进行规则校验,避免越权参数传入。
漏洞得分
7.1
更新时间
2023-05-17
本站不提供下载资料的技术支持。使用者必须具备技术能力并自行解决问题!否则请勿下载。