用友 GRP-U8 kjnd 存在 sql 注入
一、漏洞简介
用友GRP-U8是用友软件推出的一款企业级管理软件套件,旨在帮助企业实现全面的数字化管理和业务优化。用友GRP-U8 kjnd参数对用户传入的参数未进行有效的过滤,直接拼接到SQL查询语句中,导致SQL注入漏洞。攻击者通过该漏洞可以获取数据库敏感信息。
二、影响版本
- 用友GRP-U8 行政事业内控管理软件(新政府会计制度专版)
- 用友GRP-U8 高校内控管理软件(Manager版)
三、资产测绘
- hunter
app.name="用友GRP-U8 OA" - 特征
四、漏洞复现
/U8AppProxy?gnid=notify&id=new&kjnd=1