关于YonBip 分析云存在druid未授权访问漏洞的通知

一、漏洞描述

“用友分析云”存在druid未授权访问漏洞，该漏洞用友分析云默认启动druid，并未对druid做登录认证，导入任意用户可直接访问druid，读取session、数据库配置、SQL监控、Spring监控、查看JsonApi。

复现过程：先访问用友分析云主页，之后在url后面添加如下地址：/console/druid/index.html，即可未授权访问Druid后台页面，读取session、数据库配置、SQL监控、Spring监控、查看JsonApi。

二、影响版本

5.0 - 6.3版本

7.0及以上版本

三、漏洞补丁：

https://docs.diwork.com/l/6874708Ef662 【友空间云文档】用友分析云druid未授权访问漏洞修复补丁(5.0 - 6.3版本).zip

https://docs.diwork.com/l/D97Ad7569768 【友空间云文档】用友分析云druid未授权访问漏洞修复补丁(7.0及以上版本).zip

四、修改方案：

在deploy/console/WEB-INF/web.xml（7.0以下在webapps/console/WEB-INF/web.xml）文件中，去掉如下图部分，并重启分析云：

请项目及时下载补丁进行漏洞修改！