漏洞描述
用友NC6是用友NC产品的全新系列、是面向集团企业的世界级高端管理软件。市场占有率已经达到亚太第一。
近日天大天财监测发现用友NC出现最新漏洞,漏洞编号为CNVD-2021-30167。
该漏洞是由于用友NC对外开放了BeanShell接口,攻击者可以在未授权的情况下访问该接口,可以通过构造恶意数据执行任意代码并获取服务器权限。
该漏洞利用难度低,可造成的危害大。可能造成如下安全问题:
漏洞复现
访问页面:
http://ip:port//servlet/~ic/bsh.servlet.BshServle
可直接执行命令
exec("whoami")成功读取当前系统用户名:root
漏洞影响
用友NC: 6.5及以下版本
用友NC互联网资产分布情况:
安全建议
目前,用友公司已发布补丁,下载地址:
http://umc.yonyou.com/ump/querypatchdetailedmng?PK=18981c7af483007db179a236016f594d37c01f22aa5f5d19
脆弱性评估
|
严重程度 |
高 |
■ |
中 |
低 |
参考链接
https://www.cnvd.org.cn/webinfo/show/6491
http://umc.yonyou.com/ump/querypatchdetailedmng?PK=18981c7af483007db179a236016f594d37c01f22aa5f5d19
关注公众号后台回复 用友NC 获取批量检查工具,一周内有效
招聘信息
岗位:安全服务工程师
工作地:内蒙古自治区呼和浩特市
要求:有一点攻防能力即可。
公司提供平台:包括不限于攻防实战演练,各大论坛账号(包括不限于所有国内主流安全论坛),学习机会,良好的团队氛围,各种工具和神器。
福利:双休,法定节假日放假,特殊人群放假,例如:六一儿童节给有孩子的员工放半天假。节日礼物,生日礼物,年终奖,项目奖金等。
联系电话:李主管:13347145946
邮箱:[email protected]、[email protected]
有意向的小伙伴可将简历投递到邮箱或直接来电即可。
关于天大天财
内蒙古天大天财信息技术有限责任公司,成立于1999年,是集网络安全服务、安全集成、计算机系统集成、公共安全技术防范系统设计|施工|维修为一体的综合性高科技信息公司
专注产生价值,天大天财致力于做内蒙古网络安全设计、实施、运维服务综合实力最强的本土品牌,我们潜心了解客户业务需求及痛点,注重提升与客户的粘合度,赢得了客户与市场的认可,享有很好的商誉;我们坚持以技术实施、服务为基础,注重技术团队的培养与提升,拥有一支技术过硬的服务团队,能够为全区客户提供及时的应急支援服务,同时,为了能够为客户做更优质更有水准的安全服务,我们成立了天大天财安全实验室,推出了自己的安全服务产品,收到客户的高度认可。
2018年被评为内蒙古网络安全行业协会理事长单位,获得内蒙古自治区科技型企业资质以及高新技术企业证书,涉密资质由原来的三项(集成、运维、安防)新增一项国家秘密载体印制资质证书.
连续三年参加省级攻防演练。
服务能力图示:
服务热线:0471-2658551/552/553
地址:内蒙古自治区呼和浩特市赛罕区昭乌达路世纪六路鸿博大厦4层
原文始发于微信公众号(天大天财):用友NC BeanShell远程代码执行 漏洞(CNVD-2021-30167)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论