漏洞详情:
关于ncchr登陆校验accesstokenNCC漏洞,由于登陆调用Loginfilter.class类针对request请求头中accesstokenNCC解密校验场景缺失,因此存在模拟访问时,特定accesstokenNCC序列串校验永不失效漏洞。
厂商:
用友
影响产品:
用友NC Cloud
影响版本:
NCC2005、NCC2105、NCC2111、YonBIP高级版2207、YonBIP高级版2305
其他修复方法:
打对应补丁,重启服务,各版本补丁获取方式如下:
1. NCC2005方案
补丁名称: 2005-2207_移动端token增加校验1.2_patch_2023-10-23-17-41-18
补丁编码:NCM_NCCLOUD2020.05_60_HRPUB_20231113_GP_890519134
2. NCC2105方案
补丁名称: 2005-2207_移动端token增加校验1.2_patch_2023-10-23-17-41-18
补丁编码:NCM_NCCLOUD2021.05_60_HRPUB_20231113_GP_890594398
3. NCC2111方案
补丁名称: 2005-2207_移动端token增加校验1.2_patch_2023-10-23-17-41-18
补丁编码:NCM_NCCLOUD2021.11_60_HRPUB_20231113_GP_890641669
4. YONBIP高级版2207方案
补丁名称: 2005-2207_移动端token增加校验1.2_patch_2023-10-23-17-41-18
补丁编码:NCM_YONBIP高级版2207_60_HRPUB_20231113_GP_890681280
5. YONBIP高级版2305方案
补丁名称: 2305_移动端token增加校验_patch_2023-10-24-10-05-22
补丁编码:
NCM_YONBIP高级版2305(2207SP)_60_HRPUB_20231113_GP_890705137
缓解方案:
无
其它链接:
https://security.yonyou.com/#/noticeInfo?id=432
原文始发于微信公众号(飓风网络安全):【漏洞预警】用友NC Cloud系统ncchr登陆校验accesstokenNCC漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论