用友U8cloud so.saleorder.takeback 存在 SQL 注入漏洞
漏洞描述
用友U8cloud是一款面向成长型企业的云ERP管理软件。其开放接口 /u8cloud/openapi/so.saleorder.takeback在接收和处理用户输入的keys参数时,未对输入内容进行充分的过滤和校验,导致攻击者能够构造恶意的SQL语句并注入到数据库查询中。成功利用此漏洞的攻击者可以执行非授权的数据库操作,从而窃取、篡改或删除存储在数据库中的业务敏感信息,对企业的核心数据资产构成严重威胁。
影响范围
用友U8cloud
漏洞详情
暂无
漏洞 POC
暂无
修复建议
暂无