关于用友GRP-U8的u8qx/obr_zdybxd_check.jsp存在sql注入漏洞的安全通告

一、 漏洞描述

用友政务公司获知用友GRP-U8 SQL注入漏洞后，第一时间组织团队进行应急响应，分析处理漏洞问题并发布相关解决补丁，并对相关支持人员进行培训。本次漏洞主要是在服务地址u8qx/obr_zdybxd_check.jsp，利用u8qx下的obr_zdybxd_check.jsp页面，入参变量mlid， 通过利用此入参进行SQL注入，获取非法数据或者恶意执行的语句，造成泄露风险。

二、影响版本

用友GRP-U8R10产品官方在售及提供服务的版本为U8Manager，产品分B、C、G三个产品系列，以上受到本次通报漏洞的影响。

三、修复方案

本次通过过滤特殊SQL关键字、以及增加预编译，防止通过入参进行SQL注入。请所有渠道总经理、技术支持部，联动向下传达到客户和沟通群。