组件介绍

用友NC 6是用友NC产品的全新系列、是面向集团企业的世界级高端管理软件。目前NC基于8000家集团企业客户的实力，使其在同类产品市场占有率已经达到亚太第一，面向大型企业集团和成长中的集团企业的信息化需求，用友NC6的产品定位于大型企业管理与电子商务平台。

漏洞描述

2021年6月1日，深信服安全团队监测到一则用友NC BeanShell远程代码执行漏洞的信息。

该漏洞是由于用友NC对外开放了BeanShell测试接口，并没有设置权限，攻击者可利用该漏洞在未授权的情况下，构造恶意数据，进行任意代码，最终获取服务器最高权限。

影响范围

用友NC 6是用友NC产品的全新系列、是面向集团企业的世界级高端管理软件，目前NC基于8000家集团企业客户的实力，使其在同类产品市场占有率已经达到亚太第一。该平台使用范围广，据已有材料所知，多个行头部企业均有使用，高端用户多，所以漏洞的影响面较大，风险较高。当前可能受漏洞影响的资产主要集中在国内贵州、北京、广东等省份地区。

目前受影响的用友NC版本：

用友NC 6.5

官方修复建议

用友NC官方说明：该漏洞为第三方jar包漏洞导致，用友NC官方已于4月9日解决并验证，且通过服务渠道推送了解决方案，授权用户可以访问下载链接进行下载。