用友 U8Cloud 文件上传漏洞(NVDB-CNVDB-2025112160)预警
1、基本情况
用友 U8Cloud 是用友网络科技股份有限公司推出的新一代云 ERP 解决方案,主要聚焦成长型、创新型企业,提供企业级云 ERP 整体解决方案。
近日,监测发现用友官方发布安全公告修复了用友 U8Cloud 文件上传漏洞(NVDB-CNVDB-2025112160),该漏洞源于用友 U8cloud ServiceDispatcherServlet 反序列化补丁修复不完善,攻击者可绕过鉴权将非 Web 目录下的文件移动到 Web 目录下以实现任意文件上传获取服务器权限。
对此,建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
2、影响范围
受影响版本
⚫ 用友 U8Cloud V2.0 版本
⚫ 用友 U8Cloud V2.1 版本
⚫ 用友 U8Cloud V2.3 版本
⚫ 用友 U8Cloud V2.5 版本
⚫ 用友 U8Cloud V2.6 版本
⚫ 用友 U8Cloud V2.7 版本
⚫ 用友 U8Cloud V2.65 版本
⚫ 用友 U8Cloud V3.0 版本
⚫ 用友 U8Cloud V3.1 版本
⚫ 用友 U8Cloud V3.2 版本
⚫ 用友 U8Cloud V3.5 版本
⚫ 用友 U8Cloud V3.6 版本
⚫ 用友 U8Cloud V3.6sp 版本
⚫ 用友 U8Cloud V5.0 版本
⚫ 用友 U8Cloud V5.0sp 版本
⚫ 用友 U8Cloud V5.1 版本
⚫ 用友 U8Cloud V5.1sp 版本
3、处置建议
目前该已经修复,受影响用户可安装最新版本补丁。
下载地址:https://security.yonyou.com/#/patchInfo?identifier=565b9cc1214b473dbeb4ab96eeafec08
4、参考链接
1) https://security.yonyou.com/#/noticeInfo?id=720