2026 年 4 月 28 日,百度云防护 Web 应用防火墙(WAF)规则库再次重磅更新。本次新增及优化 40 余条安全规则,累计内置规则总数达到 1039 条。重点覆盖用友 NC、U8 Cloud、致远 OA、泛微 OA、通达 OA 等企业级应用的高危漏洞,包括 JNDI 注入、反序列化 RCE、SQL 注入、文件上传、命令执行等多种攻击类型。在厂商官方补丁发布之前,百度云防护即可提供“虚拟补丁”级的即时拦截,为企业应用争取宝贵的修复窗口期。
一、 用友系列(NC、U8 Cloud、畅捷通 T+)
用友企业级应用在国内拥有庞大的客户群体。本次更新针对用友 NC、NC Cloud、U8 Cloud 及畅捷通 T+ 等系统新增了 18 条专项防护规则,覆盖反序列化、SQL 注入、文件上传等高危攻击链。
| 规则名称(部分) | 规则 ID | 风险等级 | 防护类型 | 漏洞描述 |
|---|---|---|---|---|
Injection.PMCloudDrive_JNDI.A | 4248 | 高风险 | 注入 | 用友 NC Cloud & YonBIP PMCloudDriveProjectStateServlet JNDI 注入攻击 – 攻击者可构造恶意 JNDI 名称实施远程类加载,导致 RCE。 |
Injection.CVE-2023-48788.A | 4249 | 高风险 | 注入 | 用友 NC Cloud RegisterServlet 反序列化漏洞利用 – 未授权用户可发送恶意序列化数据,造成远程代码执行。 |
Code_exec.UFIDA_Action.A | 4250 | 高风险 | 代码执行 | 用友 UFIDA ActionHandlerServlet 反序列化漏洞 – 针对特定 Action 处理器的反序列化攻击,可完全控制服务器。 |
Code_exec.FileReceiveServlet.A | 4251 | 高风险 | 代码执行 | 用友 NC com.yonyou.ante.servlet.FileReceiveServlet 反序列化漏洞 – 恶意序列化数据导致 RCE。 |
Cmd_exec.yonyou_nc_jiuqi.B | 4252 | 中风险 | 命令执行 | 用友 NC com.ufsoft.iufo.jiuqi.JiuQiClientReqDispatch 反序列化命令执行漏洞 – 可执行任意系统命令。 |
Injection.yonyou_nc_ibapi.A | 4253 | 中风险 | 注入 | 用友 NC & NC Cloud IBapIOService SQL 注入漏洞 – 未经身份验证的攻击者可窃取数据库敏感信息。 |
Injection.yonyou_photoservlet.A | 4254 | 中风险 | 注入 | 用友 U8 Cloud MARosterPhotoServlet 组件 SQL 注入漏洞 – 参数过滤不严导致任意 SQL 执行。 |
Injection.U8_Cloud_Register.A | 4255 | 中风险 | 注入 | 用友 U8 Cloud RegisterServlet SQL 注入漏洞 – 攻击者可通过注册相关接口注入恶意 SQL。 |
File_upload.u8_cloud_upload.A | 4256 | 高风险 | 文件上传 | 用友 U8 Cloud upload 任意文件上传漏洞 – 可上传 JSP WebShell,直接接管服务器。 |
Injection.NC_qrySubPurchase.A | 4257 | 中风险 | 注入 | 用友 NC qrySubPurchaseOrgByParentPk 接口 SQL 注入漏洞 – 利用 Oracle 语法可获取数据库所有数据。 |
Injection.nc_yerfile_sql.A | 4258 | 中风险 | 注入 | 用友 NC yerfile-down SQL 注入漏洞 – 利用 DBMS_PIPE.RECEIVE_MESSAGE 函数进行时间盲注。 |
Injection.nc_downbill_sql.A | 4259 | 中风险 | 注入 | 用友 NC down-bill 接口 Oracle DBMS_PIPE.RECEIVE_MESSAGE 函数 SQL 注入 – 可逐字节窃取数据。 |
Injection.NC_show_download.A | 4260 | 中风险 | 注入 | 用友 NC Cloud show_download_content 接口 SQL 注入漏洞 – 参数拼接导致任意 SQL 执行。 |
Injection.u8_returnleave_sql.A | 4261 | 中风险 | 注入 | 用友 U8 returnleave-submit 接口 System 头部 SQL 注入攻击 – 利用 HTTP 头注入恶意 SQL。 |
File_upload.u8_download_u.A | 4262 | 高风险 | 文件上传 | 用友 U8-OA 协同工作系统 doUpload.jsp 任意文件上传漏洞 – 无需登录即可上传 JSP 木马。 |
Injection.yonyou_keyedit.A | 4263 | 中风险 | 注入 | 用友畅捷通 T+ keyEdit.aspx KeyID 参数 SQL 注入漏洞 – 可导致数据库信息泄露。 |
以上规则均已内置到百度云防护基础引擎,接入 WAF 后默认开启,无需手动配置。
二、 致远 OA 系列(A6、A8、G6)
致远 OA 是国内用户量极大的协同管理软件。本次更新覆盖了致远 OA 多个版本的代码执行、SQL 注入及 XXE 漏洞。
| 规则名称 | 规则 ID | 风险等级 | 防护类型 | 漏洞描述 |
|---|---|---|---|---|
Code_exec.ZYOAsyncconfig.A | 4264 | 高风险 | 代码执行 | 致远 OA syncConfigManager 方法远程代码执行漏洞 – 未授权调用导致任意 Java 代码执行。 |
Injection.ZYOA_setextno_sql.A | 4265 | 中风险 | 注入 | 致远 OA A6 setextno.jsp SQL 注入漏洞 – 参数拼接可执行任意 SQL 语句。 |
Injection.ZYOA_getajaxdata.A | 4266 | 中风险 | 注入 | 致远 OA getAjaxDataServlet 路径的 XML 实体注入(XXE) – 可读取任意文件或发起 SSRF 攻击。 |
三、 通达 OA 系列
通达 OA 也是中小企业广泛使用的办公系统。本次新增针对 CNVD-2021-21890 命令执行漏洞的拦截规则。
| 规则名称 | 规则 ID | 风险等级 | 防护类型 | 漏洞描述 |
|---|---|---|---|---|
Cmd_exec.CNVD-2021-21890.A | 4267 | 中风险 | 命令执行 | 通达 OA gateway.php 接口命令执行漏洞(CNVD-2021-21890) – 未授权用户可通过构造参数执行任意系统命令。 |
四、 泛微 OA 系列(e-Mobile、云桥、E-Cology、E-Office)
泛微 OA 在企业市场中占据重要份额。本次更新涵盖 e-Mobile 远程命令执行、云桥文件上传、E-Cology SQL 注入、E-Office SQL 注入等。
| 规则名称 | 规则 ID | 风险等级 | 防护类型 | 漏洞描述 |
|---|---|---|---|---|
Cmd_exec_Mobile_error_R.A | 4268 | 高风险 | 命令执行 | 泛微 e-Mobile 移动管理平台 error 远程命令执行漏洞 – 接口未授权导致系统命令执行。 |
File_upload.ebridge_unauth.A | 4269 | 高风险 | 文件上传 | 泛微云桥 fileUpload 未授权文件上传漏洞 – 可上传任意 JSP 文件,直接控制服务器。 |
Injection.hrm_sql_injection.A | 4271 | 中风险 | 注入 | 泛微 HrmService 接口 SOAP 请求参数的 SQL 注入攻击 – 通过 XML 载荷注入恶意 SQL。 |
Injection.ecology_getsqldata.A | 4270 | 中风险 | 注入 | 泛微 OA E-Cology getSqlData 接口 SQL 注入漏洞 – 可执行任意数据库命令。 |
Injection.CNVD-2022-43246.A | 4272 | 中风险 | 注入 | 泛微 E-Office webservice-json-login SQL 注入漏洞(CNVD-2022-43246) – 登录接口 SQL 注入,可绕过认证。 |
Cmd_exec_office_mobile.A | 4273 | 中风险 | 命令执行 | 泛微 e-office mobile.wsdl.php SQL 注入漏洞 – 参数过滤不严导致 SQL 注入。 |
五、 如何启用这些防护规则?
如果你已接入百度云防护 WAF,以上所有规则均已默认开启(基础防护引擎为中级或高级策略集)。你可以按以下步骤确认或调整:
- 登录百度云防护控制台 → 防护配置 → Web防护 → 内置规则。
- 在搜索框输入上述规则 ID(如
4248、4249等),检查状态是否为“开启”,处置动作是否为“拦截”。 - 若前期设置为“观察”,请手动修改为“拦截”,以确保攻击被实时阻断。
如果尚未接入百度云防护,欢迎联系 主机吧。我们将提供免费安全评估和 WAF 接入指导,5 分钟即可为你的用友、致远、泛微等系统套上“虚拟补丁”。
六、 总结:虚拟补丁的价值
对于用友 NC、致远 OA 等大型企业级应用,厂商的官方补丁往往发布周期长、升级复杂,甚至部分旧版本已停止维护。百度云防护 WAF 通过实时更新的规则库,可以在漏洞公开的当天即为用户提供拦截能力,无需修改任何代码,不影响业务连续性。
本次 4 月 28 日的规则更新,再次体现了百度安全团队对国内主流企业应用安全威胁的快速响应能力。1039 条内置规则,覆盖了你可能遇到的绝大多数高危漏洞。
主机吧 | 百度云防护官方合作伙伴
提供 WAF 接入、高防 CDN、高防 IP、高防服务器、SSL 证书一站式服务
让每一次漏洞利用都无从下手,让每一个企业应用都固若金汤。
