用友-nc-cloud runscript接口sql注入漏洞

已于 2024-03-20 14:07:21 修改
阅读量230 收藏
点赞数 5
分类专栏: 漏洞复现 文章标签: web安全
于 2024-03-20 13:49:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/136874230
版权

产品简介

用友cloud 聚焦成长型、创新型企业的云 ERP,基于全新的企业互联网应用设计理念,为企业提供集人财物客、产供销于一体的云 ERP 整体解决方案,全面支持多组织业务协同、智能财务,人力服务、构建产业链智造平台,融合用友云服务实现企业互联网资源连接、共享、协同。

漏洞描述

用友cloud runscript接口处存在sql注入漏洞,攻击者未经授权可以访问数据库中的数据,从而盗取用户数据,造成用户信息泄露。

fofa及漏洞编号

app=”用友-U8-Cloud”
影响资产数量:5408

image.png

影响版本

2.7,3.0,3.1,3.2,3.5,3.6,3.6sp,5.0,5.0sp

漏洞复现

POST /ncchr/attendScript/internal/runScript HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36
Connection: close
Content-Type: application/x-www-form-urlencoded
Accept: */*
Accept-Language: en
Authorization: 58e0046
了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
  • 5
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
用友U8Cloud runScript SQL注入漏洞复现(含nuclei-poc)
m0_50797689的博客
03-20 238
用友U8Cloud runScript SQL注入漏洞复现(含nuclei-poc)
漏洞复现】用友NC-Cloud ConfigResourceServlet 反序列化漏洞
最新发布
qq_67810151的博客
04-16 386
用友NC 存在反序列化漏洞,未授权的攻击者可以通过该漏洞执行任意命令,从而控制服务器。
用友NCCloud系统runScript存在SQL注入漏洞
qq_36334672的博客
04-02 221
用友NC Cloud系统中的runScript接口被发现存在SQL注入(SQL Injection)安全漏洞。攻击者通过构造恶意的输入数据,能够将非法的SQL命令插入到原本正常的数据库查询语句中,从而绕过授权机制,未经授权地直接访问、修改或删除数据库中的敏感信息。
用友NC-Cloud INtbOBAWebService xxe漏洞
weixin_52204925的博客
02-28 802
该系统/uapws/service/nc.itf.tb.oba.INtbOBAWebService接口存在XXE漏洞,恶意攻击者可能会利用该命令在xml中构造恶意命令,可能会导致服务器失陷或者敏感信息泄露。
用友NC Cloud存在前台远程命令执行漏洞
holyxp的博客
07-22 498
用友网络是全球领先的企业与公共组织软件、云服务、金融服务提供商。提供营销、制造、财务、人力等产品与服务,帮助客户实现发展目标,进而推动商业和社会进步。
用友NC uapjs RCE漏洞复现(CNVD-C-2023-76801)
0xSec
06-29 9776
用友NCNC Cloud系统存在任意文件上传漏洞,攻击者可通过uapjs(jsinvoke)应用构造恶意请求非法上传后门程序,此漏洞可以给NC服务器预埋后门,从而可以随意操作服务器
用友NC Cloud runScript SQL注入漏洞复现
0xSec
03-20 548
用友NCCloud /ncchr/attendScript/internal/runScript接口处存在SQL注入漏洞,未授权的攻击者可以通过此漏洞获取数据库权限,进一步利用可导致服务器失陷。
用友NC Cloud及YonBIP PMCloudDriveProjectStateServlet JNDI注入漏洞
weixin_52204925的博客
01-31 1122
用友NC Cloud及YonBIP PMCloudDriveProjectStateServlet JNDI注入漏洞
用友NC任意文件上传漏洞利用工具
04-14
用友NC任意文件上传漏洞利用工具,用友NC6.5的某个页面,存在任意文件上传漏洞漏洞成因在于上传文件处未作类型限制,未经身份验证的攻击者可通过向目标系统发送特制数据包来利用此漏洞,成功利用此漏洞的远程攻击...
NC Cloud 2021.05 全产品培训 - 应收应付
06-01
收付单据 转移并账 协同管理 核销处理 坏账管理 催款管理 汇兑损益 期末处理 查询
用友NC全产品培训课件-销售信用.ppt
03-22
用友NC全产品培训课件-销售信用.ppt
用友-PRD-NC-V6.3-总账.pdf
03-29
用友_PRD_NC_V6.3_总账.pdf
用友ERP-NC管理软件在集团企业财务管理中的运用最终版.pdf
11-17
用友ERP-NC管理软件在集团企业财务管理中的运用最终版.pdf
用友-PRD-NC-V6.3-流程管理.pdf
03-29
用友-PRD-NC-V6.3-流程管理.pdf
用友-PRD-NC-V6.3-商业汇票.pdf
03-29
用友-PRD-NC-V6.3-商业汇票.pdf
用友-PRD-NC-V6.3-库存计划.pdf
03-29
用友-PRD-NC-V6.3-库存计划.pdf
用友 NC Cloud jsinvoke 任意文件上传
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
12-01 825
用友 NC Cloud 中存在 jsinvoke 接口的任意文件上传漏洞,攻击者可以通过利用此漏洞向系统上传任意恶意文件。
用友NC NCCLOUD BIP ldap公共入口uapjs漏洞补丁
Karka_的博客
03-16 858
补丁名称问题描述发布时间产品版本领域模块nc65_sysFunctionManager下标越界和空指针合集补丁NC6.5集团采供库存管理nc633_ldap公共入口漏洞补丁nc633_ldap公共入口漏洞补丁NC6.33UAP基础技术框架nc65_ldap公共入口漏洞补丁nc65_ldap公共入口漏洞补丁NC6.5UAP基础技术框架ncc1909ldap公共入口漏洞补丁ncc1909ldap公共入口漏洞补丁应用平台基础技术框架。
漏洞复现】用友NC Cloud-runScript-SQL注入漏洞
Nday_Seeker
03-20 734
用友NC Cloud系统中的runScript接口被发现存在SQL注入(SQL Injection)安全漏洞。攻击者通过构造恶意的输入数据,能够将非法的SQL命令插入到原本正常的数据库查询语句中,从而绕过授权机制,未经授权地直接访问、修改或删除数据库中的敏感信息。
用友GRP-U8高校内控管理软件 漏洞
07-28
- *2* *3* [用友 GRP-U8 Proxy XXE-SQL注入漏洞](https://blog.csdn.net/weixin_46944519/article/details/127225867)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值