漏洞详情:
NC及NC Cloud系统中对于POST请求内容的未作校验且未作安全配置,直接传入ReadObject方法中解析,导致反序列化漏洞。
厂商:
用友网络科技股份有限公司
影响产品:
用友NC
用友NC Cloud
其他修复方法:
找到home中该目录文件hotwebsportalWEB-INFweb.xml,删除下面其中的两段代码,重启nc服务生效。
<servlet>
<servlet-name>LfwSsoRegisterServlet</servlet-name>
<servlet-class>nc.uap.portal.login.action.LfwSsoRegisterServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>LfwSsoRegisterServlet</servlet-name>
<url-pattern>/registerServlet</url-pattern>
</servlet-mapping>
相关链接:
https://security.yonyou.com/#/noticeInfo?id=435
原文始发于微信公众号(飓风网络安全):【漏洞预警】用友NC及NC Cloud系统registerServletJNDI漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论