• 网站首页
  •   >   威胁情报
  •   >   正文
  • 威胁情报

    用友 U8 Cloud NCCloudGatewayServlet 命令执行漏洞

    发布日期:2025-09-30    浏览次数:

    1. 漏洞背景

    U8 cloud 是用友推出的新一代云 ERP,主要聚焦成长型、创新型企业,提供企业级云 ERP 整体解决方案,全面支持多组织业务协同、营销创新、智能财务、人力服务,构建产业链制造平台,融合用友云服务,实现企业互联网资源连接、共享、协同,赋能中国成长型企业高速发展、云化创新

    2. 漏洞详情

    2025 9 26 日,深瞳漏洞实验室监测到一则用友-U8-Cloud组件存在命令执行漏洞的信息,漏洞威胁等级:严重。

    用友 U8 Cloud NCCloudGatewayServlet 接口存在命令执行漏洞,该漏洞源于服务端缺乏调用对象限制,允许用户反射调用危险方法导致命令执行,造成目标服务器失陷。

    3. 漏洞影响

    目前受影响的用友-U8-Cloud 版本:

    2.0 2.1 2.3 版本

    2.5 2.6 2.7 2.65 版本

    3.0 3.1 3.2 3.5 3.6 3.6sp 版本

    5.0 5.0sp 5.1 5.1sp 版本

    4. 处置建议

    官方修复建议

    官方已发布安全补丁修复该漏洞,建议受影响升级补丁修复该漏洞。

    下载链接:https://security.yonyou.com/#/patchInfo?identifier=9695976d67dd4786badf91df6cb6578c


    一审:信息网络中心

    二审:信息网络中心

    三审:信息网络中心

    地址: 成都市外东成洛大道2025号 版权所有©成都大学 蜀ICP备05006454号电话:028-84616931  邮编:610106