【漏洞预警】用友NC及NC Cloud系统registerServletJNDI漏洞

admin

102755
文章

87
评论

2024年2月9日14:02:45评论28 views字数 559阅读1分51秒阅读模式

【漏洞预警】用友NC及NC Cloud系统registerServletJNDI漏洞

漏洞详情:
NC及NC Cloud系统中对于POST请求内容的未作校验且未作安全配置，直接传入ReadObject方法中解析，导致反序列化漏洞。

厂商：
用友网络科技股份有限公司

影响产品：
用友NC
用友NC Cloud

其他修复方法:
找到home中该目录文件hotwebsportalWEB-INFweb.xml,删除下面其中的两段代码，重启nc服务生效。
<servlet>
<servlet-name>LfwSsoRegisterServlet</servlet-name>
<servlet-class>nc.uap.portal.login.action.LfwSsoRegisterServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>LfwSsoRegisterServlet</servlet-name>
<url-pattern>/registerServlet</url-pattern>
</servlet-mapping>

相关链接:
https://security.yonyou.com/#/noticeInfo?id=435

原文始发于微信公众号（飓风网络安全）：【漏洞预警】用友NC及NC Cloud系统registerServletJNDI漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

【漏洞预警】用友NC及NC Cloud系统registerServletJNDI漏洞

CVE-2024-27956 WordPress Automatic SQL注入漏洞可添加后台账号

用友NC down/bill存在SQL注入漏洞(XVE-2024-9469)

CVE-2024-23722

CVE-2024-0783

CNVD-2024-06148

CVE-2024-4040｜CrushFTP 认证绕过模板注入漏洞（POC）

【漏洞复现】ZenTao（禅道）身份认证绕过漏洞（QVD-2024-15263）

（CVE-2024-25648）福昕阅读器 ComboBox 小部件格式事件 UAF

漏洞复现 || SpringBlade dict-biz/list接口SQL注入

漏洞预警 | 大华智慧园区综合管理平台远程代码执行漏洞

发表评论

在线咨询

微信