0x01 用友NC
用友NC 是用友软件股份有限公司开发的一套企业级管理软件系统。它是一个基于互联网的多层应用系统,旨在为中大型企业提供全面、集成的管理解决方案
0x02 漏洞简介
近期,监测到用友NC多个SQL注入漏洞情报。攻击者通过利用上述SQL注入漏洞,可获取数据库敏感数据,并配合数据库xp_cmdshell可以执行任意命令,从而控制服务器,获得服务器权限。经过分析与研判,该漏洞利用难度低,建议尽快修复
0x03 漏洞详解
0x04 漏洞范围
-
version<= 6.5
0x05 漏洞信息
-
漏洞名称:用友NC 多个漏洞
-
漏洞编号:暂无
-
漏洞危害:高危 SQL注入
-
漏洞poc:未公开
-
漏洞exp:已知
-
在野利用:已知
-
影响范围:千级
0x06 漏洞修复
1. 建议受影响的用友NC的客户尽快安装用友NC更新漏洞补丁或更高版本,[用友厂商官方补丁]下载链接:
https://security.yonyou.com/#/noticeInfo?id=521
https://security.yonyou.com/#/noticeInfo?id=524
原文始发于微信公众号(火山信安实验室):【漏洞通报】用友NC多个RCE漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论