网络安全

当前位置: 首页  网络安全

关于用友 U8Cloud XChangeServlet SQL注入漏洞的预警通报

2026年07月10日 浏览量: 10 来源: 网络与教育技术中心 作者: 发布: 网络与教育技术中心

近日,工作发现最新漏洞威胁:用友 U8Cloud XChangeServlet SQL注入漏洞


用友 U8Cloud /servlet/XChangeServlet 数据交换接口用于接收并解析 XML 格式的业务数据交换请求。服务端在处理请求体中 ufinterface 节点属性时,对外部可控的 sender 参数缺少严格校验和安全过滤,导致攻击者可在未登录的情况下,向该接口发送构造后的恶意 XML 请求,并在 sender 属性中注入 SQL 语句,破坏后端原有数据库查询逻辑。成功利用该漏洞后,攻击者可能读取数据库中的敏感信息。


目前受影响的用友 U8Cloud版本:

2.0 ≤ 用友 U8Cloud ≤ 2.1

用友 U8Cloud 2.3

2.5 ≤ 用友 U8Cloud ≤ 2.7

3.0 ≤ 用友 U8Cloud ≤ 3.2

3.5 ≤ 用友 U8Cloud ≤ 3.6sp

5.0 ≤ 用友 U8Cloud ≤ 5.1sp


官方已发布补丁:https://security.yonyou.com/#/noticeInfo?id=784

使用U8C安全补丁升级工具进行安全补丁更新,各版本对应补丁如下:

V2.0-V2.3

补丁名称:patch_V2.0-2.1_XChangeServlet接口存在SQL注入漏洞的补丁(注入点sender)_chengxlk_20260706

校验码:

a178803f1ce550f69d85bc133a3e59394bc397e212da0d51ba48daa279ddb560

V2.5-V3.6sp

补丁名称:patch_V2.3-3.6sp_XChangeServlet接口存在SQL注入漏洞的补丁(注入点sender)_chengxlk_20260706

校验码:

4716faa6ec1ff41d55b574581fc3c2ea6d000b6fb539b0c1777decb733e47d08

V5.0-V5.1sp

补丁名称:patch_V5.0-5.1sp_XChangeServlet接口存在SQL注入漏洞的补丁(注入点sender)_chengxlk_20260706

校验码:

69c0f8701a1df13c93b56916990ad5a86750acc026f1b1b20e764411291d7e30


请各单位增强网络安全防护意识,立即排查产品使用情况,并督促指导受影响单位及时升级漏洞补丁,消除风险隐患。同时,加强网络安全监测,如发现遭攻击情况及时处置并报告。