用友 NC 命令注入漏洞
一、漏洞描述
用友NC是一款企业级ERP软件。作为一种信息化管理工具,用友NC提供了一系列业务管理模块,包括财务会计、采购管理、销售管理、物料管理、生产计划和人力资源管理等,帮助企业实现数字化转型和高效管理。
NC65系统存在的命令注入漏洞,攻击者可利用该漏洞执行获取系统敏感信息。
二、影响版本
version <= 6.5
三、漏洞评估
利用条件:无权限要求
交互要求:0-click
漏洞危害:高危、命令注入
影响范围:用友 NC
四、修复方案
打对应补丁,重启服务,各版本补丁获取方式如下:
1.NC65方案
补丁名称:远程执行任意指令漏洞修复方案【NC】
补丁编码:
NCM_NC6.5_000_109902_20220412_GP__PGM_750886641
https://dsp.yonyou.com/patchcenter/patchdetail/10221657636032950882/0/2
补丁名称:NC6.5_InvokerServlet命令执行漏洞补丁
补丁编码:NCM_NC6.5_000_0004_20220518_GP_858952460
https://dsp.yonyou.com/patchcenter/patchdetail/11221671094481657347/0/22. 临时处置和应对措施:非必要不建议将该系统暴露在公网。
原文始发于微信公众号(利刃信安攻防实验室):【漏洞预警】用友 NC 命令注入漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论