【漏洞预警】用友NC Cloud系统ncchr登陆校验accesstokenNCC漏洞

漏洞详情:

关于ncchr登陆校验accesstokenNCC漏洞，由于登陆调用Loginfilter.class类针对request请求头中accesstokenNCC解密校验场景缺失，因此存在模拟访问时，特定accesstokenNCC序列串校验永不失效漏洞。

厂商:
用友

影响产品:
用友NC Cloud

影响版本:
NCC2005、NCC2105、NCC2111、YonBIP高级版2207、YonBIP高级版2305

其他修复方法:
打对应补丁，重启服务，各版本补丁获取方式如下：
1. NCC2005方案
补丁名称: 2005-2207_移动端token增加校验1.2_patch_2023-10-23-17-41-18
补丁编码:NCM_NCCLOUD2020.05_60_HRPUB_20231113_GP_890519134
2. NCC2105方案
补丁名称: 2005-2207_移动端token增加校验1.2_patch_2023-10-23-17-41-18
补丁编码:NCM_NCCLOUD2021.05_60_HRPUB_20231113_GP_890594398
3. NCC2111方案
补丁名称: 2005-2207_移动端token增加校验1.2_patch_2023-10-23-17-41-18
补丁编码:NCM_NCCLOUD2021.11_60_HRPUB_20231113_GP_890641669
4. YONBIP高级版2207方案
补丁名称: 2005-2207_移动端token增加校验1.2_patch_2023-10-23-17-41-18
补丁编码:NCM_YONBIP高级版2207_60_HRPUB_20231113_GP_890681280
5. YONBIP高级版2305方案
补丁名称: 2305_移动端token增加校验_patch_2023-10-24-10-05-22
补丁编码:
NCM_YONBIP高级版2305(2207SP)_60_HRPUB_20231113_GP_890705137

缓解方案:
无

其它链接:
https://security.yonyou.com/#/noticeInfo?id=432

原文始发于微信公众号（飓风网络安全）：【漏洞预警】用友NC Cloud系统ncchr登陆校验accesstokenNCC漏洞