用友NC远程命令执行

  • A+
所属分类:漏洞复现
摘要

用友NC是一款企业级管理软件,在大中型企业广泛使用。实现建模、开发、继承、运行、管理一体化的IT解决方案信息化平台

漏洞描述:

用友NC是一款企业级管理软件,在大中型企业广泛使用。实现建模、开发、继承、运行、管理一体化的IT解决方案信息化平台。攻击者可以通过构造特定的HTTP请求来触发反序列化漏洞,在目标服务器上远程执行任意代码。

影响范围:

1
用友NC全版本

披露时间:

1
20200604

漏洞复现:

1
https://127.0.0.1/servlet/~ic/bsh.servlet.BshServlet

用友NC远程命令执行

修复建议:

厂商已提供漏洞修补方案,建议用户下载使用:

1
http://umc.yonyou.com/ump/querypatchdetailedmng?PK=18981c7af483007db179a236016f594da71ab8805c81ebf7

工具附件:

批量检测脚本

1
https://github.com/Tas9er/NCTestServletRCE

用友NC远程命令执行

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: