【安全通报】用友GRP-u8 命令执行漏洞

用友GRP-U8R10行政事业财务管理软件是用友公司专注于国家电子政务事业，基于云计算技术所推出的新一代产品，是我国行政事业财务领域最专业的政府财务管理软件。

该系统被曝存在命令执行漏洞，当用户可以控制命令执行函数中的参数时，将可注入恶意系统命令到正常命令中，造成命令执行攻击，目前互联网上已存在漏洞细节以及相关漏洞poc。

影响范围

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="用友-GRP-U8"）共有483个相关服务对外开放。中国使用数量最多，共有483个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区四川使用数量最多，共有 33 个；湖南第二，共有 23 个；江苏第三，共有 22 个，北京第四，共有 18 个；湖北第五，共有 18 个。

漏洞POC

修复方案

​ 1.建议尽快联系用友官方获得安全升级方案。

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。