小说阅读器,盗墓笔记小说

用友NC BeanShell遠(yuǎn)程代碼執(zhí)行漏洞安全風(fēng)險(xiǎn)通告

發(fā)布日期：2021-6-3

漏洞描述

2021年06月03日，監(jiān)測(cè)發(fā)現(xiàn)用友官方發(fā)布了用友BeanShell遠(yuǎn)程代碼執(zhí)行漏洞的風(fēng)險(xiǎn)通告，漏洞編號(hào)為CNVD-2021-30167。

用友NC是面向集團(tuán)企業(yè)的管理軟件，其在同類(lèi)市場(chǎng)占有率中達(dá)到亞太第一。成功利用該漏洞的攻擊者可以直接在目標(biāo)機(jī)器上執(zhí)行任意代碼，并以用友NC軟件的用戶(hù)權(quán)限執(zhí)行任意命令。

該漏洞利用復(fù)雜度低，攻擊者無(wú)需用戶(hù)交互及相關(guān)權(quán)限便可直接執(zhí)行任意代碼，危害度很高。

對(duì)此，建議廣大用戶(hù)及時(shí)將用友NC升級(jí)到最新版本。與此同時(shí)，請(qǐng)做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

漏洞編號(hào)

CNVD-2021-30167

漏洞危害

該漏洞是由于用友NC對(duì)外開(kāi)放了BeanShell接口，攻擊者可以在未授權(quán)的情況下直接訪問(wèn)該接口，并構(gòu)造惡意數(shù)據(jù)執(zhí)行任意代碼并獲取服務(wù)器權(quán)限。

漏洞等級(jí)

高危
受影響版本

用友:NC: 6.5

修復(fù)方案

該漏洞為第三方j(luò)ar包漏洞導(dǎo)致，通過(guò)服務(wù)渠道推送了解決方案，授權(quán)用戶(hù)可以訪問(wèn)下載鏈接進(jìn)行下載。下載鏈接：http://umc.yonyou.com/ump/querypatchdetailedmng?PK=18981c7af483007db179a236016f594d37c01f22aa5f5d19

參考鏈接

1、https://www.cnvd.org.cn/flaw/show/CNVD-2021-30167

漏洞播報(bào)