1. 漏洞背景
U8 cloud 是用友推出的新一代云 ERP,主要聚焦成长型、创新型企业,提供企业级云 ERP 整体解决方案,全面支持多组织业务协同、营销创新、智能财务、人力服务,构建产业链制造平台,融合用友云服务,实现企业互联网资源连接、共享、协同,赋能中国成长型企业高速发展、云化创新。
2. 漏洞详情
2025 年 9 月 26 日,深瞳漏洞实验室监测到一则用友-U8-Cloud组件存在命令执行漏洞的信息,漏洞威胁等级:严重。
用友 U8 Cloud NCCloudGatewayServlet 接口存在命令执行漏洞,该漏洞源于服务端缺乏调用对象限制,允许用户反射调用危险方法导致命令执行,造成目标服务器失陷。
3. 漏洞影响
目前受影响的用友-U8-Cloud 版本:
2.0 2.1 2.3 版本
2.5 2.6 2.7 2.65 版本
3.0 3.1 3.2 3.5 3.6 3.6sp 版本
5.0 5.0sp 5.1 5.1sp 版本
4. 处置建议
官方修复建议:
官方已发布安全补丁修复该漏洞,建议受影响升级补丁修复该漏洞。
下载链接:https://security.yonyou.com/#/patchInfo?identifier=9695976d67dd4786badf91df6cb6578c