用友NC远程命令执行漏洞通告
2023-09-11 14:17:07 时间
用友NC远程命令执行漏洞通告
360-CERT [三六零CERT](javascript:void(0)😉 今天
0x00 漏洞背景
2020年06月04日, 360CERT监测发现国内安全组织
发布了用友NC远程命令执行漏洞
的风险通告,漏洞等级:高危
。
用友NC
是一款企业级管理软件,在大中型企业广泛使用。实现建模、开发、继承、运行、管理一体化的IT解决方案信息化平台。
用友NC
存在反序列化漏洞
,攻击者
通过构造特定的HTTP请求
,可以在目标服务器上远程执行任意命令
。
目前该漏洞暂无安全补丁发布,360CERT建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
0x01 风险等级
360CERT对该漏洞的评定结果如下
评定方式 | 等级 |
---|---|
威胁等级 | 高危 |
影响面 | 一般 |
0x02 影响版本
- 用友NC:全版本
0x03 修复建议
- 用友NC为商业软件,可直接联系用友官方获得安全升级方案。
- 在官方安全补丁发布之前,建议相关企业严格限制用友NC的访问权限,禁止外部IP请求用友NC应用。
0x04 时间线
2020-06-04 国家电网公司信息与网络安全重点实验室发布漏洞通告
2020-06-04 360CERT发布漏洞通告
0x05 参考链接
1.国家电网公司信息与网络安全重点实验室发布漏洞通告
[https://mp.weixin.qq.com/s/TkzQvw1iXjySoU9LJjLdRw]
转载自https://mp.weixin.qq.com/s/eF1v4iYE4T_NqmztM3i6TA
相关文章
- Memcache未授权访问漏洞简单修复方法
- 2022年十大漏洞扫描工具
- dedecmsV5.7 任意文件上传漏洞修复
- jumpserver 远程执行漏洞分析和复现
- 资产收集以及漏洞管理(转)
- Cisco Smart Install远程命令执行漏洞
- CVE-2017-8464远程命令执行漏洞(震网漏洞)复现
- wordpress 4.6任意命令执行漏洞(PwnScriptum)复现
- SSRF漏洞详解与利用
- 文件上传漏洞中常见文件解析
- 22 - vulhub - Fastjson 1.2.47 远程命令执行漏洞
- 05 - vulhub - Apache HTTPD 换行解析漏洞(CVE-2017-15715)
- traefik TLS/SSL 修复sweet32漏洞 [安全加固]——筑梦之路
- 19.Imagetragick 命令执行漏洞(CVE-2016–3714)
- 10.Redis未授权访问漏洞复现与利用
- 2. DVWA亲测命令执行漏洞
- Apache Zookeeper 未授权访问漏洞【原理扫描】
- 13 - vulhub - Couchdb 任意命令执行漏洞(CVE-2017-12636)
- 墨者靶场 登录密码重置漏洞分析溯源详解
- HTTP.sys 远程执行代码 漏洞 MS15-034 CVE-2015-1635