LOGO OA教程 ERP教程 模切知识交流 PMS教程 CRM教程 开发文档 其他文档  
 
网站管理员

【HW必备】用友NC-Cloud存在17处漏洞合集

admin
2024年6月28日 11:45 本文热度 990

漏洞简介



    NC Cloud是用友公司推出的大型企业数字化平台。支持公有云、混合云、专属云的灵活部署模式。NC Cloud完全基于云原生架构,技术先进、性能稳定、自主安全可控,支撑大中型以及超大型集团企业N层多site混合云部署方案,支持整个系统高可用、弹性扩展、双/多活,以及快速灾备恢复能力等。NC-Cloud存在17处漏洞,护网即将来临,如未升级系统,请尽快进行升级处理。


资产详情



app="用友-NC-Cloud"


漏洞复现





1、用友NC cloud importhttpscer 存在任意文件上传

2、用友NC cloud uploadChunk 存在任意文件上传

3、用友NC Cloud前台命令执行漏洞

(1)通过poc上传webshell

(2)通过webshell执行命令

4、用友NC-Cloud files存在反序列化漏洞

(1)用yakit生成dnslog域名

(2)使用yso生成利用链

(3)将上一步生成的hex数据替换payload字段,探测是否存在漏洞

5、用友NC-Cloud PMCloudDriveProjectStateServlet远程命令执行

6、用友NC-Cloud dcupdateService存在反序列化漏洞

7、用友NC-Cloud uap-framework-rc-controller存在反序列化漏洞

8、用友NC-Cloud文件服务器用户绕过登陆漏洞

通过漏洞可直接绕过登录,访问文件服务器

9、用友NC-Cloud系统queryStaffByName存在SQL注入漏洞

10、用友NC-Cloud系统queryBeginEndTime存在SQL注入漏洞

11、用友NC-Cloud系统queryRuleByDeptId存在SQL注入漏洞

12、用友-NC-Cloud系统getSmartDefParametersByCode存在SQL注入漏洞

13、用友-NC-Cloud系统getSmartDefFieldsByCode存在SQL注入漏洞

14、用友-NC-Cloud系统getDataSetByCode存在SQL注入漏洞

15、用友-NC-Cloud系统getSmartDefParameters存在SQL注入漏洞

16、用友-NC-Cloud系统getSmartDefFields存在SQL注入漏洞

17、用友-NC-Cloud系统getDataSet存在SQL注入漏洞

来源:https://mp.weixin.qq.com/s/Y3FoR4Tpzm8uhnprrKeOCQ


该文章在 2024/6/28 11:46:32 编辑过
关键字查询
相关文章
正在查询...
点晴ERP是一款针对中小制造业的专业生产管理软件系统,系统成熟度和易用性得到了国内大量中小企业的青睐。
点晴PMS码头管理系统主要针对港口码头集装箱与散货日常运作、调度、堆场、车队、财务费用、相关报表等业务管理,结合码头的业务特点,围绕调度、堆场作业而开发的。集技术的先进性、管理的有效性于一体,是物流码头及其他港口类企业的高效ERP管理信息系统。
点晴WMS仓储管理系统提供了货物产品管理,销售管理,采购管理,仓储管理,仓库管理,保质期管理,货位管理,库位管理,生产管理,WMS管理系统,标签打印,条形码,二维码管理,批号管理软件。
点晴免费OA是一款软件和通用服务都免费,不限功能、不限时间、不限用户的免费OA协同办公管理系统。
Copyright 2010-2024 ClickSun All Rights Reserved