漏洞概况

用友YonBIP R6 旗舰版是用友推出的全球领先的企业数智化平台与应用软件,旨在帮助企业实现数字化转型,成就数智企业。

微步漏洞团队通过X漏洞奖励计划获取到用友YonBIP R6旗舰版任意用户密码重置漏洞情报。由于密码重置功能设计缺陷,导致攻击者可绕过邮箱验证码,直接重置用户密码。该漏洞利用方式简单,建议受影响用户尽快修复。

漏洞处置优先级(VPT)

漏洞影响范围

漏洞复现

修复方案

用友安全中心已发布漏洞公告,请尽快前往下载补丁进行更新:

https://security.yonyou.com/#/noticeInfo?id=709

临时修复方案:

  • 可配置防护策略,限制访问漏洞相关路径。完整漏洞利用路径请通过微步漏洞情报查询。

  • 如非必要,避免将资产暴露在互联网。

微步产品侧支持情况

  • 微步威胁感知平台TDP 已支持检测,检测ID:S3100164693 ,模型/规则高于20250715000000可检出。