用友 U8 Cloud AppPhoneServletService 接口 SQL 注入漏洞

漏洞概述： 用友 U8 Cloud 的 AppPhoneServletService 接口存在 SQL 注入漏洞。攻击者在未授权情况下，可能通过构造恶意请求影响后端 SQL 查询逻辑，进而获取数据库权限。 影响范围： 影响产品为用友 U8 Cloud。具体受影响版本暂未在现有材料中明确披露。 利用条件： 1. 目标系统对外可访问。 2. 攻击者能够访问相关接口并提交恶意参数。 3. 后端对输入缺乏充分过滤或参数化处理。 潜在影响： 1. 数据库信息泄露。 2. 数据库权限被获取或滥用。 3. 在进一步利用条件满足时，可能导致服务器失陷。 修复建议： 1. 对相关接口实施参数化查询或预编译语句，避免拼接 SQL。 2. 对用户输入进行严格校验和过滤。 3. 部署 Web 应用防火墙并监控异常数据库访问行为。 4. 如非必要，禁止公网访问该系统。 5. 排查相关接口日志，确认是否存在异常访问与注入痕迹。 参考链接： GobySec 漏洞更新页面（见 source_links）。