关于用友GRP-U8高校内控管理软件（新政府会计制度专版）存在SSRF漏洞的安全通告

一、 漏洞描述

用友政务公司获知用友GRP-U8高校内控管理软件（新政府会计制度专版）存在SSRF漏洞后，第一时间组织团队进行应急响应，分析处理漏洞问题并发布相关解决补丁，并对相关支持人员进行培训。本次漏洞主要是通过分析/services/PayMent?wsdl，利用getBankInfo接口，改变入参中一个请求地址，造成访问风险。

二、影响版本

用友GRP-U8R10产品官方在售及提供服务的版本为U8Manager，产品分B、C、G三个产品系列，以上受到本次通报漏洞的影响。

三、修复方案

通过禁止访问/services/PayMent?wsdl；不再使用外部传入getBankInfo方法中 intf_addr 这个入参，改为从配置文件获取。已发布相关补丁，请及时更新修复补丁。我们已通过微信公众号（用友政务GRPU8）发布漏洞解决方案，请所有渠道总经理、技术支持部，联动向下传达到客户和沟通群。