一、背景介绍

近日监测到官方修复用友U8Cloud pubsmsservlet远程代码执行漏洞。

1.1漏洞描述

用友U8Cloud是用友网络科技股份有限公司推出的新一代云ERP解决方案。

该漏洞存在于用友U8Cloud所有版本提供的PubSmsServlet接口，漏洞源于PubSmsServlet在处理 XML数据时，缺乏有效的类型验证和反序列化安全控制，导致攻击者可构造恶意数据实现任意对象创建从而获取系统权限。

1.2漏洞编号

QVD-2025-39606

1.3漏洞等级

高危

二、修复建议

2.1受影响的版本

用友U8Cloud= 2.0、2.1、2.3、2.5、2.6、2.7、2.65、3.0、3.1、3.2、3.5、3.6、3.6sp、5.0、5.0sp、5.1、5.1sp

2.2修复建议

官方已发布安全补丁，请及时升级至最新版本：https://security.yonyou.com/#/noticeInfo?id=742