用友 U8Cloud 是用友网络科技股份有限公司推出的新一代云ERP解决方案，主要聚焦成长型、创新型企业，提供企业级云ERP整体解决方案。该系统全面支持多组织业务协同、营销创新、智能财务、人力服务，构建产业链制造平台，融合用友云服务，实现企业互联网资源连接、共享、协同。U8Cloud 提供了全面的企业管理功能，包括财务管理、人力资源管理、供应链管理、采购管理、销售管理等，支持多种业务模式，适用于不同行业和企业规模的需求，在中国成长型企业的数字化转型中发挥重要作用。

近日，360漏洞研究院捕获到用友 U8Cloud V3.6-V5.1sp 版本存在反序列化漏洞，漏洞利用后可造成远程代码执行的效果，可在目标服务器上执行任意代码，获取系统权限、窃取企业敏感数据、篡改业务流程、植入持久化后门等，相当于攻击者获得了企业ERP系统的"管理员权限"。

360漏洞研究院已复现用友 U8Cloud 未授权远程代码执行漏洞，通过启动计算器的方式进行了验证。

发送 payload 数据包

用友 U8Cloud 未授权远程代码执行漏洞复现

用友U8Cloud V3.6版本

用友U8Cloud V3.6sp版本  

用友U8Cloud V5.0版本

用友U8Cloud V5.0sp版本

用友U8Cloud V5.1版本

用友U8Cloud V5.1sp版本

正式防护方案

用友安全中心已发布官方安全补丁，请立即进行更新：

1.访问用友安全中心下载最新安全补丁。

2.按照补丁包中的操作说明文档完成补丁安装。

360安全智能体：支持该漏洞攻击的智能分析。

360测绘云 Quake：默认支持该产品的指纹识别。

360高级持续性威胁预警系统：已具备该漏洞的检测能力。告警ID为：60129557，建议用户尽快升级检测规则库。

360资产与漏洞检测管理系统：预计 2025年7月28日发布规则更新包，支持该漏洞利用行为的检测。
本地安全大脑：默认支持该漏洞的PoC检测。

2025年7月22日：360漏洞研究院捕获到漏洞。

2025年7月23日：联系用友官方修复漏洞。

2025年7月25日：官方发布漏洞修复补丁。

2025年7月25日：360漏洞研究院发布本安全风险通告。

https://security.yonyou.com/#/patchInfo?identifier=11d1684ea9624f1a81edc85de6762454