【高危漏洞】CVE-2026-1178:用友KSOA 9.0 SQL注入漏洞分析
漏洞概述
近日,安全研究人员披露了用友(Yonyou)KSOA 9.0系统中存在一个SQL注入漏洞。该漏洞位于组件 HTTP GET 参数处理器的 /kmf/select.jsp 文件中,攻击者可通过操控 folderid 参数远程执行恶意SQL语句,从而可能导致敏感数据泄露、数据篡改或服务中断。目前该漏洞的利用代码已公开,且厂商尚未作出回应。
漏洞详情
- CVE 编号:CVE-2026-1178
- 漏洞类型:SQL注入(CWE-89 / CWE-74)
- CVSS 评分:CVSS v3.1 基础分 7.3(HIGH),CVSS v4.0 基础分 6.9(MEDIUM)
- 影响版本:用友 KSOA 9.0
影响范围
该漏洞影响用友 KSOA 9.0 版本中 /kmf/select.jsp 页面的 folderid 参数处理逻辑。任何部署了该版本且未进行安全加固的系统均可能受到攻击。
风险分析
由于该漏洞可通过网络远程利用,且无需身份认证和用户交互,攻击者可构造恶意请求直接对数据库执行任意SQL命令。潜在风险包括但不限于:
- 读取、修改或删除数据库中的敏感信息;
- 绕过身份验证机制获取系统权限;
- 进一步渗透内网,扩大攻击面。
此外,漏洞利用代码已在 GitHub 上公开,显著增加了被大规模利用的可能性。
修复建议
- 建议用户立即联系用友官方获取安全补丁或升级至不受影响的版本;
- 在官方修复发布前,可临时通过Web应用防火墙(WAF)规则拦截包含可疑SQL关键字的 /kmf/select.jsp 请求;
- 对 folderid 等用户输入参数实施严格的输入验证与参数化查询,防止SQL注入。
