【漏洞预警】用友 NC 命令注入漏洞
2023-5-17 19:26:0 Author: 利刃信安攻防实验室(查看原文) 阅读量:77 收藏

用友 NC 命令注入漏洞

一、漏洞描述

用友NC是一款企业级ERP软件。作为一种信息化管理工具,用友NC提供了一系列业务管理模块,包括财务会计、采购管理、销售管理、物料管理、生产计划和人力资源管理等,帮助企业实现数字化转型和高效管理。

NC65系统存在的命令注入漏洞,攻击者可利用该漏洞执行获取系统敏感信息。

经过分析与研判,该漏洞利用难度低,可以直接远程代码执行,影响范围较大,建议尽快修复。

二、影响版本

version <= 6.5

三、漏洞评估

利用条件:无权限要求

交互要求:0-click

漏洞危害:高危、命令注入

影响范围:用友 NC

四、修复方案

打对应补丁,重启服务,各版本补丁获取方式如下:

1.NC65方案

补丁名称:远程执行任意指令漏洞修复方案【NC】

补丁编码:

NCM_NC6.5_000_109902_20220412_GP__PGM_750886641

https://dsp.yonyou.com/patchcenter/patchdetail/10221657636032950882/0/2

补丁名称:NC6.5_InvokerServlet命令执行漏洞补丁

补丁编码:NCM_NC6.5_000_0004_20220518_GP_858952460

https://dsp.yonyou.com/patchcenter/patchdetail/11221671094481657347/0/2

2. 临时处置和应对措施:非必要不建议将该系统暴露在公网。


文章来源: http://mp.weixin.qq.com/s?__biz=MzU1Mjk3MDY1OA==&mid=2247503985&idx=1&sn=631346c9ff5d01ab29629bdeed9e836a&chksm=fbfb60bccc8ce9aaea0e2214f9b62974881dfe1aa7f6b7852944fdacd7d23f093403f41ed80f#rd
如有侵权请联系:admin#unsafe.sh