本文介绍了用友NC存在的一个高危命令执行漏洞(CNVD-2021-30167),该漏洞源于BeanShell测试接口的不安全配置,允许未认证攻击者通过发送恶意请求执行任意代码,获取服务器控制权。用友公司已发布风险通告,并提供了补丁修复方案。
- 漏洞说明:
2021年5月27日,国家信息安全漏洞共享平台(CNVD)公布了用友NC存在命令执行漏洞(CNVD-2021-30167),用友NC采用J2EE架构,面向大型企业集团和成长中的集团企业的信息化需求,为集团企业提供建模、开发、集成、运行、管理一体化的信息化解决方案。
2021年6月2日,用友公司发布了关于用友NC BeanShell远程代码执行漏洞的风险通告。由于用友NC对外开放了BeanShell的测试接口,未经身份验证的攻击者利用该测试接口,通过向目标服务器发送恶意构造的Http请求,在目标系统上直接执行任意代码,从而获得目标服务器权限。
CNVD对该漏洞的综合评级为“高危”。用友NC存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。漏洞细节如下:
漏洞ID: CNVD-2021-30167
漏洞危害等级:高
漏洞详细信息:
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
