用友U8Cloud存在任意文件上传漏洞，攻击者可绕过鉴权上传恶意脚本，影响多个版本。官方已发布修复版本，建议用户尽快升级以确保安全。

机器之心数据服务现已上线，提供高效稳定的数据获取，简化数据爬取流程。

用友网络在云转型中面临增长乏力和利润下滑，2022年云服务收入仅占34.8%。与SAP成功转型相比，用友存在平台技术不足、生态孤岛和行业穿透薄弱等问题。借鉴SAP经验，用友需加强平台建设、重构生态、深耕行业和实施订阅制转型，以实现高质量转型，推动中国数字经济自主化。

用友U8 Cloud存在SQL注入漏洞，攻击者可未经授权访问数据库。该漏洞于2023年9月被发现，具体细节尚未公开。攻击者可通过特定请求执行任意SQL语句，导致数据泄露。

本文介绍了多种常见的漏洞挖掘工具，如fastjson、shiro和jboss，并提供了下载链接和使用说明。同时提醒读者遵守网络安全法，谨慎使用相关技术信息。

用友NC存在远程代码执行漏洞，受影响版本为<=5，已发布安全补丁修复该漏洞。

用友U8Cloud ServiceDispatcher接口存在反序列化漏洞，攻击者可利用该漏洞实现命令执行，官方已发布安全补丁修复该漏洞。

金蝶和用友的代码签名证书因根证书被吊销而失效，影响大量企业使用。其他受影响的证书包括Verisign和赛门铁克时代签发的根证书。微软也吊销了多张根证书，导致中级证书和子证书全部失效。开发商和客户都受到负面影响。

用友NC的ActionHandlerServlet接口存在反序列化漏洞，受影响的版本有NC6.3和NC6.5。漏洞原因是在接收到请求后，该接口先进行Gzip解压缩，然后进行反序列化。解决poc编写问题时，发现序列化数据被gzip压缩后改变，经过查阅资料发现是UTF-8编码的问题，将编码修改为ASCII后问题解决。

用友畅捷通T+存在SQL注入和反序列化漏洞，攻击者可执行任意SQL语句或上传恶意文件执行任意代码。受影响版本为畅捷通T+ 13.0和16.0，官方已发布补丁修复漏洞。建议用户尽快安装更新或限制访问，提高安全运营机制，避免新漏洞成为勒索入口。

用友NC存在反序列化远程代码执行漏洞，影响补丁版本小于5，需尽快安装官方安全补丁。

各位Buffer周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！热点资讯1、DEF CON 大会：白帽黑客演示远程控制退役卫星8 月 20 日的 DEF CON 黑客大会上，白帽黑客组织 Shadyte l现场演示远程劫持一颗退役卫星，并利用它来播放电影。2、苹果曝严重安全漏洞，喜提热搜第一据媒体报道，苹果公司在

上午蓝点网提到用友旗下中小企业财务管理软件畅捷通 T+ 疑似出现安全问题 ,  少部分企业被勒索软件感染。 蓝 […]

绿盟终端安全系统ESS应对”用友畅捷通T+勒索攻击“

近日，绿盟科技CERT监测到用友畅捷通T+存在任意文件上传漏洞。