漏洞描述

用友 U8 Cloud 是用友推出的新一代云 ERP，主要聚焦成长型、创新型企业，提供企业级云 ERP 整体解决方案。

用友 U8 Cloud MeasureQueryFrameAction 接口处存在 SQL注入漏洞，未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

漏洞等级

高危

影响范围

1.0,2.0,2.1,2.3,2.5,2.6,2.65,2.7,3.0,3.1,3.2,3.5,3.6,3.6sp,5.0,5.0sp

安全建议

1.升级补丁<U8CLOUD 系统 MeasureQueryFrameAction 接口存在 SQL 注入漏洞的安全补丁>，补丁下载地址：

https://security.yonyou.com/#/patchInfo?identifier=5eb402abcec648f8afe964d423491c4e

2.联系厂商技术人员进行处理。