该产品主要使用客户行业分布广泛,漏洞危害性高,建议客户尽快做好自查及防护。
| 漏洞标题 | NC Cloud 系统存在 PMCloud JNDI 注入漏洞 | ||
| 应急响应等级 | 4级 | ||
| 漏洞类型 | 远程命令执行 | ||
| 影响目标 | 影响厂商 | 用友 | |
| 影响产品 | NC、YonBIP | ||
| 影响版本 | NCC2105 / NCC2111 / YonBIP 高级版 2207/ YonBIP 高级版 2305 | ||
| 安全版本 | NCC2105:NCM_NCCLOUD2021.05_10_0013_20231219_GP_992291159
|
||
| 漏洞编号 | CVE编号 | 未分配 | |
| CNVD编号 | 未分配 | ||
| CNNVD编号 | 未分配 | ||
| 安恒CERT编号 | WM-202312-000003 | ||
| 漏洞标签 | Web应用、OA系统 | ||
| CVSS3.1评分 | 7.5(安恒自评) | 危害等级 | 高危 |
| CVSS向量 | 访问途径(AV) | 网络 | |
| 攻击复杂度(AC) | 高 |
||
| 所需权限(PR) | 低 | ||
| 用户交互(UI) | 不需要用户交互 | ||
| 影响范围(S) | 不变 | ||
| 机密性影响(C) | 高 |
||
| 完整性影响(I) | 高 | ||
| 可用性影响(A) | 高 | ||
| 威胁状态 | Poc情况 | 未发现 | |
| Exp情况 | 未发现 | ||
| 在野利用 | 未发现 | ||
| 研究情况 | 分析中 | ||
| 舆情热度 | 公众号 | 低 | |
| 低 | |||
| 微博 | 低 | ||
2、U8 Cloud 系统存在 SQL 注入漏洞
| 漏洞标题 | U8 Cloud 系统存在 SQL 注入漏洞 | ||
| 应急响应等级 | 2级 | ||
| 漏洞类型 | SQL注入 | ||
| 影响目标 | 影响厂商 | 用友 | |
| 影响产品 | U8Cloud | ||
| 影响版本 | 2.1,2.3,2.5,2.6,2.65,2.7,3.0,3.1,3.2,3.5,3.6,3.6sp,5.0,5.0sp | ||
| 安全版本 | U8CLOUDv1.0-v3.6版 本 KeyWordDetailReportQuery 和 KeyWordReportQuery 接口存在 SQL 注入漏洞的安全补丁
|
||
| 漏洞编号 | CVE编号 | 未分配 | |
| CNVD编号 | 未分配 | ||
| CNNVD编号 | 未分配 | ||
| 安恒CERT编号 | WM-202312-000005 | ||
| 漏洞标签 | Web应用、OA系统 | ||
| CVSS3.1评分 | 7.6(安恒自评) | 危害等级 | 高危 |
| CVSS向量 | 访问途径(AV) | 网络 | |
| 攻击复杂度(AC) | 低 | ||
| 所需权限(PR) | 低 | ||
| 用户交互(UI) | 不需要用户交互 | ||
| 影响范围(S) | 不变 | ||
| 机密性影响(C) | 高 | ||
| 完整性影响(I) | 低 | ||
| 可用性影响(A) | 低 | ||
| 威胁状态 | Poc情况 | 未发现 | |
| Exp情况 | 未发现 | ||
| 在野利用 | 未发现 | ||
| 研究情况 | 分析中 | ||
| 舆情热度 | 公众号 | 低 | |
| 低 | |||
| 微博 | 低 | ||
官方修复方案:
官方已发布修复方案,受影响的用户建议及时下载补丁包进行漏洞修复
根据安恒Sumap全球网络空间资产测绘近三个月数据显示,该资产主要分布在中国,国内资产较多。建议客户尽快做好资产排查。
https://security.yonyou.com/#/patchInfo?foreignKey=0f2ba93f5ee74fedae8ebc163942fb25 https://security.yonyou.com/#/noticeInfo?id=471
原文始发于微信公众号(安恒信息CERT):【风险通告】用友产品多个高危漏洞风险提示
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论