【安全资讯】用友U8Cloud存在文件上传漏洞

安恒CERT监测到用友U8Cloud存在文件上传漏洞，该漏洞是ServiceDispatcherServlet反序列化修复补丁的绕过，在未授权的情况下调用文件移动方法，将非Web目录下的JSP文件移动至Web目录，从而实现文件上传。

影响版本：

2.0、2.1、2.3、2.5、2.6、2.65、2.7、3.0、3.1、3.2、3.5、3.6、5.0、5.0sp、5.1、5.1sp

官方修复方案：

官方已发布修复方案，受影响的用户建议及时升级补丁，“U8cloud所有版本ServiceDispatcherServlet反序列化补丁绕过实现文件上传漏洞的安全补丁”。

https://security.yonyou.com/#/patchInfo?identifier=565b9cc1214b473dbeb4ab96eeafec08

产品支持情况：

明鉴漏洞扫描系统、APT攻击预警平台、AiLPHA大数据平台已支持

参考链接：

https://security.yonyou.com/#/noticeInfo?id=720