漏洞详情:
用友NC Cloud ncchr登陆校验中存在安全特性绕过漏洞,由于登陆调用Loginfilter.class类针对request请求头中accesstokenNCC解密校验场景缺失,因此存在模拟访问时,特定accesstokenNCC序列串校验永不失效。
厂商:
用友网络科技股份有限公司
影响产品:
用友BIP
用友NC Cloud
影响版本:
NCC2005、NCC2105、NCC2111、YonBIP高级版2207、YonBIP高级版2305
其他修复方法:
打对应补丁,重启服务,各版本补丁获取方式如下:
1. NCC2005方案
补丁名称: NCC2005移动端token增加校验和增加sql注入校验1.5文件含sql脚本需要执行
补丁编码:NCM_NCCLOUD2020.05_60_HRPUB_20231113_GP_890519134
2. NCC2105方案
补丁名称: NCC2105移动端token增加校验和增加sql注入校验1.5文件含sql脚本需要执行
补丁编码:NCM_NCCLOUD2021.05_60_HRPUB_20231113_GP_890594398
3. NCC2111方案
补丁名称: NCC2111移动端token增加校验和增加sql注入校验1.5文件含sql脚本需要执行
补丁编码:NCM_NCCLOUD2021.11_60_HRPUB_20231113_GP_890641669
4. YONBIP高级版2207方案
补丁名称: YonBIP高级版2207移动端token增加校验和增加sql注入校验1.5文件含sql脚本需要执行
补丁编码:NCM_YONBIP高级版2207_60_HRPUB_20231113_GP_890681280
5. YONBIP高级版2305方案
补丁名称: YonBIP高级版2305移动端token增加校验和增加sql注入校验1.5文件含sql脚本需要执行
补丁编码:
NCM_YONBIP高级版2305(2207SP)_60_HRPUB_20231113_GP_890705137
缓解方案:
无
相关链接:
https://security.yonyou.com/#/patchInfo?foreignKey=901e8b756c244a96836495c74916d188
https://security.yonyou.com/#/noticeInfo?id=432
原文始发于微信公众号(飓风网络安全):【漏洞预警】用友NC Cloud ncchr登陆校验安全特性绕过漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论