用友 U8Cloud pubsmsservlet 远程代码执行漏洞
1、基本情况
用友 U8Cloud 是用友网络科技股份有限公司推出的新一代云 ERP 解决方案,主要聚焦成长型、创新型企业,提供企业级云 ERP 整体解决方案。
近日,监测发现官方修复用友 U8Cloud pubsmsservlet 远程代码执行漏洞(QVD-2025-39606),该漏洞存在于 U8Cloud 所有版本提供的 pubsmsservlet 接口,服务端对接收的数据进行反序列化操作时未对数据进行有效的校验,导致攻击者可发送精心构造的恶意序列化对象,在服务端执行任意代码。
对此,建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
2、影响范围
受影响版本
l 用友 U8Cloud V2.0 版本
l 用友 U8Cloud V2.1 版本
l 用友 U8Cloud V2.3 版本
l 用友 U8Cloud V2.5 版本
l 用友 U8Cloud V2.6 版本
l 用友 U8Cloud V2.7 版本
l 用友 U8Cloud V2.65 版本
l 用友 U8Cloud V3.0 版本
l 用友 U8Cloud V3.1 版本
l 用友 U8Cloud V3.2 版本
l 用友 U8Cloud V3.5 版本
l 用友 U8Cloud V3.6 版本
l 用友 U8Cloud V3.6sp 版本
l 用友 U8Cloud V5.0 版本
l 用友 U8Cloud V5.0sp 版本
l 用友 U8Cloud V5.1 版本
l 用友 U8Cloud V5.1sp 版本
3、处置建议
厂商已发布漏洞修复程序,受影响的用户建议尽快前往官方下载更新。
https://security.yonyou.com/#/noticeInfo?id=742
4、参考链接
1) https://security.yonyou.com/#/noticeInfo?id=742