关于用友GRP-U8行政事业内控管理软件（新政府会计制度专版）存在SQL注入漏洞的安全通告

一、 漏洞描述

用友政务公司获知用友GRP-U8行政事业内控管理软件（新政府会计制度专版）存在SQL注入漏洞后，第一时间组织团队进行应急响应，分析处理漏洞问题并发布相关解决补丁，并对相关支持人员进行培训。本次漏洞主要是利用datalist.jsp或者sqcxList.jsp或者sqcxIndex.jsp，进行SQL的恶意注入，造成一定的风险。

二、影响版本

用友GRP-U8R10产品官方在售及提供服务的版本为U8Manager，产品分B、C、G三个产品系列，以上受到本次通报漏洞的影响。

三、修复方案

进行SQL的预编译处理，拦截页面传参的SQL注入，修改注入点datalist.jsp、sqcxList.jsp、sqcxIndex.jsp代码。已通过微信公众号（用友政务GRPU8）发布漏洞解决方案，请所有渠道总经理、技术支持部，联动向下传达到客户和沟通群。