【HW必備】用友NC-Cloud存在17處漏洞合集
當前位置:點晴教程→知識管理交流
→『 企業管理交流 』
漏洞簡介 NC Cloud是用友公司推出的大型企業數字化平臺。支持公有云、混合云、專屬云的靈活部署模式。NC Cloud完全基于云原生架構,技術先進、性能穩定、自主安全可控,支撐大中型以及超大型集團企業N層多site混合云部署方案,支持整個系統高可用、彈性擴展、雙/多活,以及快速災備恢復能力等。NC-Cloud存在17處漏洞,護網即將來臨,如未升級系統,請盡快進行升級處理。 資產詳情 app="用友-NC-Cloud"
漏洞復現 1、用友NC cloud importhttpscer 存在任意文件上傳
2、用友NC cloud uploadChunk 存在任意文件上傳
3、用友NC Cloud前臺命令執行漏洞 (1)通過poc上傳webshell
(2)通過webshell執行命令
4、用友NC-Cloud files存在反序列化漏洞 (1)用yakit生成dnslog域名  (2)使用yso生成利用鏈  (3)將上一步生成的hex數據替換payload字段,探測是否存在漏洞
 5、用友NC-Cloud PMCloudDriveProjectStateServlet遠程命令執行
6、用友NC-Cloud dcupdateService存在反序列化漏洞
7、用友NC-Cloud uap-framework-rc-controller存在反序列化漏洞
8、用友NC-Cloud文件服務器用戶繞過登陸漏洞 通過漏洞可直接繞過登錄,訪問文件服務器
9、用友NC-Cloud系統queryStaffByName存在SQL注入漏洞
10、用友NC-Cloud系統queryBeginEndTime存在SQL注入漏洞
11、用友NC-Cloud系統queryRuleByDeptId存在SQL注入漏洞
12、用友-NC-Cloud系統getSmartDefParametersByCode存在SQL注入漏洞
13、用友-NC-Cloud系統getSmartDefFieldsByCode存在SQL注入漏洞
14、用友-NC-Cloud系統getDataSetByCode存在SQL注入漏洞
15、用友-NC-Cloud系統getSmartDefParameters存在SQL注入漏洞
16、用友-NC-Cloud系統getSmartDefFields存在SQL注入漏洞
17、用友-NC-Cloud系統getDataSet存在SQL注入漏洞
該文章在 2024/6/28 11:46:32 編輯過 |
關鍵字查詢
相關文章
正在查詢... 
|
400 186 1886
