用友KSOA SQL注入漏洞
(CVE-2026-1129)
一、漏洞信息
1.漏洞类型:SQL注入
2.影响产品及版本:用友KSOA 9.x系列(具体版本未明确,但漏洞存在于 worksheet/worksaadd.js 文件中)
3.攻击场景:攻击者可通过构造恶意HTTP GET请求,向 /worksheet/worksaadd.js 接口发送特制的 ID 参数,利用未充分过滤的输入触发SQL注入,实现对后端数据库的非法访问与操纵。
4.在野利用情况:虽当前未明确报告大规模在野攻击活动,但漏洞利用方法已公开(POC/EXP存在),且漏洞披露时厂商未回应,存在被恶意组织利用的风险。
5.威胁团伙:暂无直接关联已知APT组织,但结合其远程可利用、无需认证、低复杂度的特性,可能被自动化攻击工具或普通黑客用于批量扫描与入侵。
二、安全活动事件分析
事件一:2026年1月19日,开源漏洞平台VulDB(https://vuldb.com/?ctiid.341719)收录该漏洞信息,并标注为“高危”级别,同时在GitHub漏洞讨论帖(https://github.com/LX-66-LX/cve/issues/11)中披露了初步技术细节与POC,表明该漏洞已进入公开传播阶段。
事件二:2026年1月19日,安全研究人员在GitHub社区提交漏洞报告并确认其可被远程利用,且在披露过程中未获得用友官方回应,反映出厂商响应机制缺失,增加了漏洞被恶意利用的可能性。
三、技术分析
分析:该漏洞属于典型的“输入过滤不严”引发的SQL注入,攻击者可借助构造的 ID 参数读取敏感数据(如用户凭证、系统配置)、篡改数据库内容,甚至通过联合查询实现命令执行。由于攻击向量为网络(AV:N),无需认证(AU:N),且复杂度低(AC:L),具备极高的可利用性,尤其在未部署WAF或输入校验的系统中风险极高。
四、建议措施
立即对所有运行用友KSOA 9.x版本的系统进行排查,确认是否暴露于公网;
在Web应用防火墙(WAF)中配置规则,拦截包含 ID=, SELECT, UNION, DROP 等关键词的GET请求;
对 /worksheet/worksaadd.js 接口进行输入参数校验,禁止特殊字符与SQL关键字;
若无法立即升级,建议通过反向代理或API网关层对敏感接口进行访问控制与参数过滤;
持续关注厂商是否发布补丁,建议与用友官方联系确认修复进展。
五、结论概述
综合分析开源情报与漏洞技术特征,用友KSOA 9.x版本中存在的SQL注入漏洞(CVE-2026-1129)具有高危风险,攻击门槛低、远程可利用、影响范围广,且利用方法已公开,虽尚未见大规模在野攻击报道,但已具备被广泛滥用的条件。由于厂商未及时回应,安全防护责任完全落在用户侧,建议立即采取临时缓解措施并推动系统升级。