• 网站首页
  •   >   威胁情报
  •   >   正文
  • 威胁情报

    用友KSOA SQL注入漏洞(CVE-2026-1129)

    发布日期:2026-01-19    浏览次数:

    用友KSOA SQL注入漏洞

    CVE-2026-1129

    一、漏洞信息


    1.漏洞类型:SQL注入

    2.影响产品及版本:用友KSOA 9.x系列(具体版本未明确,但漏洞存在于 worksheet/worksaadd.js 文件中)

    3.攻击场景:攻击者可通过构造恶意HTTP GET请求,向 /worksheet/worksaadd.js 接口发送特制的 ID 参数,利用未充分过滤的输入触发SQL注入,实现对后端数据库的非法访问与操纵。

    4.在野利用情况:虽当前未明确报告大规模在野攻击活动,但漏洞利用方法已公开(POC/EXP存在),且漏洞披露时厂商未回应,存在被恶意组织利用的风险。

    5.威胁团伙:暂无直接关联已知APT组织,但结合其远程可利用、无需认证、低复杂度的特性,可能被自动化攻击工具或普通黑客用于批量扫描与入侵。


    二、安全活动事件分析


    事件一:2026119日,开源漏洞平台VulDBhttps://vuldb.com/?ctiid.341719)收录该漏洞信息,并标注为高危级别,同时在GitHub漏洞讨论帖(https://github.com/LX-66-LX/cve/issues/11)中披露了初步技术细节与POC,表明该漏洞已进入公开传播阶段。

    事件二:2026119日,安全研究人员在GitHub社区提交漏洞报告并确认其可被远程利用,且在披露过程中未获得用友官方回应,反映出厂商响应机制缺失,增加了漏洞被恶意利用的可能性。


    三、技术分析


    分析:该漏洞属于典型的输入过滤不严引发的SQL注入,攻击者可借助构造的 ID 参数读取敏感数据(如用户凭证、系统配置)、篡改数据库内容,甚至通过联合查询实现命令执行。由于攻击向量为网络(AV:N),无需认证(AU:N),且复杂度低(AC:L),具备极高的可利用性,尤其在未部署WAF或输入校验的系统中风险极高。


    四、建议措施


    立即对所有运行用友KSOA 9.x版本的系统进行排查,确认是否暴露于公网;

    Web应用防火墙(WAF)中配置规则,拦截包含 ID=, SELECT, UNION, DROP 等关键词的GET请求;

    /worksheet/worksaadd.js 接口进行输入参数校验,禁止特殊字符与SQL关键字;

    若无法立即升级,建议通过反向代理或API网关层对敏感接口进行访问控制与参数过滤;

    持续关注厂商是否发布补丁,建议与用友官方联系确认修复进展。


    五、结论概述


    综合分析开源情报与漏洞技术特征,用友KSOA 9.x版本中存在的SQL注入漏洞(CVE-2026-1129)具有高危风险,攻击门槛低、远程可利用、影响范围广,且利用方法已公开,虽尚未见大规模在野攻击报道,但已具备被广泛滥用的条件。由于厂商未及时回应,安全防护责任完全落在用户侧,建议立即采取临时缓解措施并推动系统升级。




    一审:胡洋

    二审:胡洋

    三审:杨文

    地址: 成都市外东成洛大道2025号 版权所有©成都大学 蜀ICP备05006454号电话:028-84616931  邮编:610106