用友 NC 命令注入漏洞

一、漏洞描述

用友NC是一款企业级ERP软件。作为一种信息化管理工具，用友NC提供了一系列业务管理模块，包括财务会计、采购管理、销售管理、物料管理、生产计划和人力资源管理等，帮助企业实现数字化转型和高效管理。

NC65系统存在的命令注入漏洞，攻击者可利用该漏洞执行获取系统敏感信息。

二、影响版本

version <= 6.5

三、漏洞评估

利用条件：无权限要求

交互要求：0-click

漏洞危害：高危、命令注入

影响范围：用友 NC

四、修复方案

打对应补丁，重启服务，各版本补丁获取方式如下：

1.NC65方案

补丁名称:远程执行任意指令漏洞修复方案【NC】

补丁编码:

NCM_NC6.5_000_109902_20220412_GP__PGM_750886641

https://dsp.yonyou.com/patchcenter/patchdetail/10221657636032950882/0/2

补丁名称:NC6.5_InvokerServlet命令执行漏洞补丁

补丁编码:NCM_NC6.5_000_0004_20220518_GP_858952460

https://dsp.yonyou.com/patchcenter/patchdetail/11221671094481657347/0/2

2. 临时处置和应对措施：非必要不建议将该系统暴露在公网。