用友NC BeanShell远程代码执行漏洞
日期:2021-06-03 09:18:49  发布人:教育信息化建设处  浏览量:216

组件介绍

用友NC 6是用友NC产品的全新系列、是面向集团企业的世界级高端管理软件。目前NC基于8000家集团企业客户的实力,使其在同类产品市场占有率已经达到亚太第一,面向大型企业集团和成长中的集团企业的信息化需求,用友NC6的产品定位于大型企业管理与电子商务平台。

漏洞描述

2021年6月1日,深信服安全团队监测到一则用友NC BeanShell远程代码执行漏洞的信息。

该漏洞是由于用友NC对外开放了BeanShell测试接口,并没有设置权限,攻击者可利用该漏洞在未授权的情况下,构造恶意数据,进行任意代码,最终获取服务器最高权限。

影响范围

用友NC 6是用友NC产品的全新系列、是面向集团企业的世界级高端管理软件,目前NC基于8000家集团企业客户的实力,使其在同类产品市场占有率已经达到亚太第一。该平台使用范围广,据已有材料所知,多个行头部企业均有使用,高端用户多,所以漏洞的影响面较大,风险较高。当前可能受漏洞影响的资产主要集中在国内贵州、北京、广东等省份地区。

目前受影响的用友NC版本:

用友NC 6.5

官方修复建议

用友NC官方说明:该漏洞为第三方jar包漏洞导致,用友NC官方已于4月9日解决并验证,且通过服务渠道推送了解决方案,授权用户可以访问下载链接进行下载。


核发:0 点击数:216 收藏本页
 

联系电话:023-42464987 重庆人文科技学院教育信息化建设处 版权所有