漏洞概况

用友U8Cloud是用友推出的新一代云ERP产品,主要聚焦于成长型、创新型企业,为其提供企业级的云ERP整体解决方案。

微步情报局监测到用友安全修复了一处任意文件上传漏洞。攻击者可未授权调用IPFxxFileService接口的文件写入方法写入任意文件,造成文件上传漏洞。

该漏洞利用方式简单,建议受影响用户尽快修复。

漏洞处置优先级(VPT)

漏洞影响范围

漏洞复现

修复方案

官方修复方案:

官方已发布补丁修复该漏洞,请尽快前往下载更新:

https://security.yonyou.com/#/noticeInfo?id=735

临时缓解措施:

  • 可配置防护策略,限制访问漏洞相关路径。完整漏洞利用路径请通过微步漏洞情报查询。

  • 如非必要,避免将资产暴露在互联网。

微步产品侧支持情况

  • 微步威胁感知平台TDP 已支持检测,检测ID:S3100168206 ,模型/规则高于20250918000000可检出。