漏洞概述

漏洞名称

用友U8cloud XChangeServlet SQL注入漏洞

漏洞编号

QVD-2026-38848

公开时间

2026-07-08

影响量级

万级

奇安信评级

高危

CVSS 3.1分数

9.1

威胁类型

信息泄露、代码执行

利用可能性

POC状态

未公开

在野利用状态

未发现

EXP状态

未公开

技术细节状态

未公开

危害描述:该漏洞可造成任意命令执行,攻击者可进一步获取服务器控制权限。

01

漏洞详情

>>>>

影响组件

用友 U8cloud 是用友网络面向成长型、集团型企业推出的云 ERP 产品,主要用于企业财务、供应链、生产制造、人力资源、协同办公等业务管理场景。该系统通常部署在企业内网或私有云环境中,为企业提供多组织、多地点、多业务单元的统一管理能力,支持财务核算、采购、销售、库存、生产、成本、报表等核心业务流程。

>>>>

漏洞描述

近日,奇安信CERT监测到官方修复用友U8cloud XChangeServlet SQL注入漏洞(QVD-2026-38848),该漏洞源于用友 U8cloud 的XChangeServlet 接口存在 SQL 注入漏洞。该接口用于处理 XML 格式的数据交换请求,服务端在解析请求体中的 ufinterface 节点属性时,对 sender 参数缺少严格校验,并将其带入后端 SQL 查询逻辑,导致攻击者可以构造恶意 SQL片段破坏原有查询语句结构。攻击者无需登录,只要能够访问目标系统 Web 服务,即可向XChangeServlet 发送恶意 XML 请求,在 sender 属性中注入 SQL 语句。该漏洞可造成任意命令执行,攻击者可进一步获取服务器控制权限。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。

02

影响范围

>>>>

影响版本

用友U8Cloud 2.0

用友U8Cloud 2.1

用友U8Cloud 2.3

用友U8Cloud 2.5

用友U8Cloud 2.6

用友U8Cloud 2.7

用友U8Cloud 2.65

用友U8Cloud 3.0

用友U8Cloud 3.1

用友U8Cloud 3.2

用友U8Cloud 3.5

用友U8Cloud 3.6

用友U8Cloud 3.6sp

用友U8Cloud 5.0

用友U8Cloud 5.0sp

用友U8Cloud 5.1

用友U8Cloud 5.1sp

>>>>

其他受影响组件

03

复现情况

目前,奇安信威胁情报中心安全研究员已成功复现用友U8cloud XChangeServlet SQL注入漏洞(QVD-2026-38848),截图如下:

04

处置建议

>>>>

安全更新

官方已发布补丁:https://security.yonyou.com/#/noticeInfo?id=784

使用U8C安全补丁升级工具进行安全补丁更新,各版本对应补丁如下:

V2.0-V2.3

补丁名称:patch_V2.0-2.1_XChangeServlet接口存在SQL注入漏洞的补丁(注入点sender)_chengxlk_20260706

校验码:

a178803f1ce550f69d85bc133a3e59394bc397e212da0d51ba48daa279ddb560

V2.5-V3.6sp

补丁名称:patch_V2.3-3.6sp_XChangeServlet接口存在SQL注入漏洞的补丁(注入点sender)_chengxlk_20260706

校验码:

4716faa6ec1ff41d55b574581fc3c2ea6d000b6fb539b0c1777decb733e47d08

V5.0-V5.1sp

补丁名称:patch_V5.0-5.1sp_XChangeServlet接口存在SQL注入漏洞的补丁(注入点sender)_chengxlk_20260706

校验码:

69c0f8701a1df13c93b56916990ad5a86750acc026f1b1b20e764411291d7e30

临时缓解措施:

1. 限制 /XChangeServlet 接口的公网访问,避免直接暴露在互联网。

2. 对访问该接口的来源 IP 设置白名单,仅允许可信业务系统访问。

05

参考资料

[1]https://security.yonyou.com/#/noticeInfo?id=784

06

时间线

2026年07月09日,奇安信 CERT发布安全风险通告。

声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。