漏洞详情:
NC及NC Cloud系统中对于POST请求内容的未作校验且未作安全配置,直接传入ReadObject方法中解析,导致反序列化漏洞。
厂商:
用友网络科技股份有限公司
影响产品:
用友NC
用友NC Cloud
其他修复方法:
找到home中该目录文件hotwebsportalWEB-INFweb.xml,删除下面其中的两段代码,重启nc服务生效。
<servlet>
<servlet-name>LfwSsoRegisterServlet</servlet-name>
<servlet-class>nc.uap.portal.login.action.LfwSsoRegisterServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>LfwSsoRegisterServlet</servlet-name>
<url-pattern>/registerServlet</url-pattern>
</servlet-mapping>
相关链接:
https://security.yonyou.com/#/noticeInfo?id=435
原文始发于微信公众号(飓风网络安全):【漏洞预警】用友NC及NC Cloud系统registerServletJNDI漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论