2020年9月11日,腾讯安全团队检测到用友 GRP-U8 行政事业内控管理软件存在 SQL 注入漏洞,攻击者可通过精心构造的 payload 进行 SQL 注入攻击,从而获取数据库敏感信息。
目前已发现在野利用,腾讯云 Web 应用防火墙已支持防御。
漏洞详情
攻击者通过精心构造的 payload 进行 SQL 注入攻击从而获取数据库敏感信息,目前腾讯云 Web 应用防火墙已支持防御。
影响版本
用友 GRP-U8 行政事业内控管理软件。
修复建议
根据漏洞通告信息,目前官方尚无更新信息,腾讯安全建议您:
由于软件的敏感性,建议不开放在公网,或使用白名单策略。
推荐采取腾讯云 Web 应用防火墙检测并拦截此次攻击。
参考信息