【HW必备】用友NC-Cloud存在17处漏洞合集
当前位置:知识管理交流
→『 企业管理交流 』
漏洞简介 NC Cloud是用友公司推出的大型企业数字化平台。支持公有云、混合云、专属云的灵活部署模式。NC Cloud完全基于云原生架构,技术先进、性能稳定、自主安全可控,支撑大中型以及超大型集团企业N层多site混合云部署方案,支持整个系统高可用、弹性扩展、双/多活,以及快速灾备恢复能力等。NC-Cloud存在17处漏洞,护网即将来临,如未升级系统,请尽快进行升级处理。 资产详情 app="用友-NC-Cloud"
漏洞复现 1、用友NC cloud importhttpscer 存在任意文件上传
2、用友NC cloud uploadChunk 存在任意文件上传
3、用友NC Cloud前台命令执行漏洞 (1)通过poc上传webshell
(2)通过webshell执行命令
4、用友NC-Cloud files存在反序列化漏洞 (1)用yakit生成dnslog域名  (2)使用yso生成利用链  (3)将上一步生成的hex数据替换payload字段,探测是否存在漏洞
 5、用友NC-Cloud PMCloudDriveProjectStateServlet远程命令执行
6、用友NC-Cloud dcupdateService存在反序列化漏洞
7、用友NC-Cloud uap-framework-rc-controller存在反序列化漏洞
8、用友NC-Cloud文件服务器用户绕过登陆漏洞 通过漏洞可直接绕过登录,访问文件服务器
9、用友NC-Cloud系统queryStaffByName存在SQL注入漏洞
10、用友NC-Cloud系统queryBeginEndTime存在SQL注入漏洞
11、用友NC-Cloud系统queryRuleByDeptId存在SQL注入漏洞
12、用友-NC-Cloud系统getSmartDefParametersByCode存在SQL注入漏洞
13、用友-NC-Cloud系统getSmartDefFieldsByCode存在SQL注入漏洞
14、用友-NC-Cloud系统getDataSetByCode存在SQL注入漏洞
15、用友-NC-Cloud系统getSmartDefParameters存在SQL注入漏洞
16、用友-NC-Cloud系统getSmartDefFields存在SQL注入漏洞
17、用友-NC-Cloud系统getDataSet存在SQL注入漏洞
该文章在 2024/6/28 11:46:32 编辑过 |
关键字查询
相关文章
正在查询... 
|
400 186 1886
