用友NCCloud系统runScript存在SQL注入漏洞

最新推荐文章于 2024-06-19 11:51:59 发布
最新推荐文章于 2024-06-19 11:51:59 发布
阅读量247 收藏
点赞数 3
文章标签: sql 数据库 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36334672/article/details/137110913
版权

1.漏洞介绍

​ 用友NC Cloud系统中的runScript接口被发现存在SQL注入(SQL Injection)安全漏洞。攻击者通过构造恶意的输入数据,能够将非法的SQL命令插入到原本正常的数据库查询语句中,从而绕过授权机制,未经授权地直接访问、修改或删除数据库中的敏感信息

2.漏洞编号
CVE CNVD CNNVD
- - -

3.影响范围
名称 版本号
-

4.检索特征

FOFA:body=“UClient.dmg”||app=“用友-U8-Cloud”

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

5.POC
POST /ncchr/attendScript/internal/runScript HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_5) AppleWebK
最低0.47元/天 解锁文章
qq_36334672
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
用友-nc-cloud runscript接口sql注入漏洞
weixin_43567873的博客
03-20 239
用友-nc-cloud runscript接口sql注入漏洞
用友NC任意文件上传漏洞利用工具
04-14
用友NC任意文件上传漏洞利用工具,用友NC6.5的某个页面,存在任意文件上传漏洞漏洞成因在于上传文件处未作类型限制,未经身份验证的攻击者可通过向目标系统发送特制数据包来利用此漏洞,成功利用此漏洞的远程攻击...
用友NC Cloud runScript SQL注入漏洞复现_友nc cloud系统runscript存在sql注入漏洞复现
2401_83974199的博客
04-14 380
用友NC Cloud /ncchr/attendScript/internal/runScript接口处存在SQL注入漏洞,未授权的攻击者可以通过此漏洞获取数据库权限,进一步利用可导致服务器失陷。
漏洞复现】用友-NC-Cloud-runScript-sql注入
qq_34780861的博客
03-21 506
用友-nc-cloud runscript sql注入,黑客可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。
用友NC Cloud runScript SQL注入漏洞复现
0xSec
03-20 568
用友NCCloud /ncchr/attendScript/internal/runScript接口处存在SQL注入漏洞,未授权的攻击者可以通过此漏洞获取数据库权限,进一步利用可导致服务器失陷。
漏洞复现】用友NC Cloud-runScript-SQL注入漏洞
Nday_Seeker
03-20 755
用友NC Cloud系统中的runScript接口被发现存在SQL注入SQL Injection)安全漏洞。攻击者通过构造恶意的输入数据,能够将非法的SQL命令插入到原本正常的数据库查询语句中,从而绕过授权机制,未经授权地直接访问、修改或删除数据库中的敏感信息。
0day漏洞-用友NC Cloud系统attendScript接口存在SQL注入漏洞
weixin_43167326的博客
03-20 843
用友NC Cloud大型企业数字化平台,深度应用新一代数字智能技术,完全基于云原生架构,打造开放、互联、融合、智能的一体化云平台,聚焦数智化管理、数智化经营、数智化商业等三大企业数智化转型战略方向,提供涵盖数字营销、财务共享、全球司库、智能制造、敏捷供应链、人才管理、智慧协同等18大解决方案,帮助大型企业全面落地数智化。该系统runscript 接口存在SQL注入漏洞,恶意攻击者可能会利用此漏洞获取服务器敏感信息,最终导致服务器失陷。
用友OA/NC/NCCloud SQL注入任意文件上传和读取RCE复现渗透测试记录
kelenwait的博客
06-23 7581
简介 用友公司成立于1988年,全面提供具有自主知识产权的企业管理/ERP软件、服务与解决方案,是中国最大的管理软件、ERP软件、集团管理软件、人力资源管理软件、客户关系管理软件及小型企业管理软件提供商。 漏洞情况 用友OA_U8 存在SQL 注入 用友NCCloud FS文件管理 SQL 注入 用友NC bsh.servlet.BshServlet 远程命令执行 用友NC 任意文件上传 getShell 漏洞复现 1.用友 OA_U8 SQL 注入 poc /yyoa/common/js/menu/tes
用友OA/NC/NCCloud漏洞集合
qq_53229503的博客
08-16 8037
用友OA/NC/NCCloud漏洞集合
NC Cloud技术文档及OpenAPI案例文档
03-09
NC Cloud技术文档及OpenAPI案例文档
NC Cloud 2021.05 全产品培训 - 应收应付
06-01
收付单据 转移并账 协同管理 核销处理 坏账管理 催款管理 汇兑损益 期末处理 查询
NC CLOUD开发讲义
03-25
NC CLOUD开发指南,包括开发环境安装部署和元数据开发、单表单据、主子表单据开发、流程开发、功能注册、安装部署、补丁资料等。
用友NC操作手册
05-25
多栏帐和辅助明细帐、凭证整理设置手册 手册划分为多栏账和辅助余额账(辅助明细账)、凭证整理三个部分,期中有大量图片供大家参考。
NL2SQL进阶系列(1):DB-GPT-Hub、SQLcoder、Text2SQL开源应用实践详解
最新发布
2401_85325726的博客
06-19 484
per_device_train_batch_size : batch的大小,如果计算资源支持,可以设置为更大,默认为1。DB-GPT-Hub是一个利用LLMs实现Text-to-SQL解析的实验项目,主要包含数据集收集、数据预处理、模型选择与构建和微调权重等步骤,通过这一系列的处理可以在提高Text-to-SQL能力的同时降低模型训练成本,让更多的开发者参与到Text-to-SQL的准确度提升工作当中,最终实现基于数据库的自动问答能力,让用户可以通过自然语言描述完成复杂数据库的查询操作等工作。
PostgreSQL源码分析——绑定变量
让我思考一下
06-18 126
这里分析一下函数中应用绑定变量的问题,但实际应用场景中,不推荐这么使用。
【AI+编程】工作日常场景随时可以AI编程,记一个问答SQL快速导出数据日常示例
月晓风清
06-15 459
为了实现你需要的操作,即以问题名称作为表头,答案作为内容导出,你可以通过JOIN操作连接三个表,然后利用动态SQL语句进行行转列转换(PIVOT)。然后通过执行这个动态生成的SQL,你可以得到一个表格,表中的每一行表示一个成员,对应每个问题的答案作为列数据。然后,在动态生成的SQL语句中利用JOIN把db_member、db_question和db_answer连接起来,并根据question_id和member_id进行匹配,以输出每个成员对应的问题答案。下面是假定表结构,实际场景和它类似。
Python Flask 使用SQLAlchemy实现ORM管理
胖蔡叨叨叨
06-12 418
SQLAlchemy是python里提供的一款SQL工具,支持数据库连接、映射、对象关系映射(ORM)以及数据库操作等功能。SQLAlchemy在构建在WSGI规范上的下一代中得到了广泛应用。如下介绍如何在Flask项目中配合实现数据库管理。
用友nccloud系统架构
06-02
用友NC Cloud 是一种基于云计算的企业级应用软件,它的系统架构可以简单地分为前端、中间件和后端三个层次。 前端主要是指用户通过浏览器或客户端等方式访问用友NC Cloud 系统,进行数据录入、查询等操作。用友NC Cloud 的前端采用了前后端分离的方式,前端是一个基于 Vue.js 框架的单页面应用程序,通过 RESTful API 与后端交互。 中间件主要是指用友NC Cloud 的业务逻辑处理层,它包含了应用服务器、消息队列、缓存服务、搜索引擎等多个组件,用于处理各种业务流程和数据操作。用友NC Cloud 的中间件采用了微服务架构,每个组件都运行在独立的容器中,各个组件之间通过 RESTful API 或消息队列进行通信。 后端主要是指用友NC Cloud 的数据存储层,它包含了数据库、文件存储、对象存储等多个组件。用友NC Cloud 的后端采用了分布式存储架构,通过数据库的读写分离和数据分片技术来提高系统的性能和可伸缩性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值