【漏洞預警】CNNVD 關于用友NC BeanShell遠程代碼執(zhí)行漏洞情況的通報

近日，國家信息安全漏洞庫(CNNVD)收到關于用友NC BeanShell遠程代碼執(zhí)行漏洞(CNNVD-202106-205)情況的報送。成功利用漏洞的攻擊者可以在無需管理員授權的情況下在目標服務器上執(zhí)行系統(tǒng)命令，獲取服務器系統(tǒng)權限，最終控制目標服務器。用友NC 6.5版本受此漏洞影響。目前，用友官方已經(jīng)發(fā)布了解決方案修復了漏洞，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。

一、漏洞介紹

用友NC是中國用友集團旗下一款面向集團企業(yè)的管理軟件。用友NC存在遠程代碼執(zhí)行漏洞，該漏洞源于用友NC對外開放了BeanShell接口，攻擊者可以在未授權的情況下直接訪問該接口，并構(gòu)造惡意數(shù)據(jù)執(zhí)行任意代碼，從而獲取服務器權限。

二、危害影響

成功利用漏洞的攻擊者可以在無需管理員授權的情況下在目標服務器上執(zhí)行系統(tǒng)命令，獲取服務器系統(tǒng)權限，最終控制目標服務器。用友NC 6.5版本受此漏洞影響。

三、修復建議

目前，用友官方已經(jīng)發(fā)布了解決方案修復了漏洞，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。授權用戶可以訪問下載鏈接進行下載：

http://umc.yonyou.com/ump/querypatchdetailedmng?PK=18981c7af483007db179a236016f594d37c01f22aa5f5d19。

本通報由CNNVD技術支撐單位——內(nèi)蒙古洞明科技有限公司、網(wǎng)神信息技術(北京)股份有限公司、深信服科技股份有限公司、杭州安恒信息技術股份有限公司、北京天融信網(wǎng)絡安全技術有限公司、北京山石網(wǎng)科信息技術有限公司、北京華云安信息技術有限公司、北京鴻騰智能科技有限公司、新華三技術有限公司、數(shù)字觀星應急響應中心、上海斗象信息科技有限公司等技術支撐單位提供支持。

CNNVD將繼續(xù)跟蹤上述漏洞的相關情況，及時發(fā)布相關信息。如有需要，可與CNNVD聯(lián)系。聯(lián)系方式:cnnvd@itsec.gov.cn

來源：CNNVD安全動態(tài)