• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

用友NC FileParserServlet 远程代码执行漏洞通告

【发布时间:2023-12-13】

新华三盾山实验室

2023/10/18


1. 漏洞综述

1.1 漏洞背景

用友NC是北京用友软件股份有限公司(简称“用友”)开发的一款企业管理软件,支持财务会计、人力资源、供应链、生产制造、客户关系管理等多个业务领域,涵盖了企业核心业务及管理流程。用友NC是基于B/S架构的软件系统,提供基于云计算、SaaS模式、本地部署等多种部署方式,广泛应用于国内外众多中小型企业和大型企业。近日,新华三盾山实验室监测到用友安全中心发布安全公告,修复了一个存在于用友NC中的反序列化漏洞,攻击者利用该漏洞可执行任意代码。

1.2 漏洞详情

由于用友NC未对用户输入的序列化数据进行过滤,又因系统本身存在反序列化利用链,导致攻击者可利用该漏洞直接执行反序列化,最终造成远程代码执行。

2. 影响范围

NC = 6.5

3. 严重等级

威胁等级

严重

影响程度

广泛

利用价值

利用难度

漏洞评分

\

4. 处置方法

4.1 官方补丁

目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:https://security.yonyou.com/#/noticeInfo?id=396

5. 参考链接

https://security.yonyou.com/#/noticeInfo?id=396

新华三官网
联系我们