打更新檔順序 | 漏洞名稱 | 問題描述 | 版本 |
1 | NC&NCC 2020-09-10安全更新檔合集 | 反序列化、遠端指令執行等通用更新檔方案 | NC6X/NCC |
2 | NC6X安全更新檔集 | 6X版本更新檔集,解決一些通用漏洞 | NC63/NC65 |
3 | NCC1909,1903,2005安全必打更新檔合集 | NCC版本更新檔集,解決一些通用漏洞 | NCC1909/NCC1903/NCC2005 |
4 | BSH遠端代碼執行漏洞 BeanShell元件漏洞 bash.servlet.BshServlet 遠端指令執行漏洞 CNVD-2021-30167 | 用友NC基于Java平台實作,由于Java BeanShell元件自身安全控制機制問題,該元件可被攻擊者利用,攻擊者通過送出精心構造HTTP請求,可遠端執行任意指令,漏洞等級定義為嚴重。 | NC57/NC63/NC65/NCC1903/NCC1909/NCC2005 |
5 | NC FileReceiveServlet任意檔案寫入 | 上傳檔案處未作類型限制,未經身份驗證的攻擊者可通過向目标系統發送特制資料包來利用此漏洞,成功利用此漏洞的遠端攻擊者可在目标系統上傳任意檔案執行指令。 | NC65/NCC1903/NCC1909/NCC2005 |
6 | NC遠端指令執行0-Day漏洞 | 用友NC 基于java平台實作。JNDI反序列化漏洞是java設計遠端調用的一個缺陷,版本含蓋jdk6、7、8。經過不斷修複及完善已經在jdk6u211、jdk7u201、jdk8u191以上版本解決(JNDI) | NC56/NC57/NC63/NC65/NCC1903/NCC1909 |
7 | 任意檔案上傳漏洞 | 漏洞成因在于上傳檔案處未作類型限制,未經身份驗證的攻擊者可通過向目标系統發送特制資料包來利用此漏洞,成功利用此漏洞的遠端攻擊者可在目标系統上傳任意檔案執行指令。請幫看看,謝謝 | NC65/NCC1903/NCC1909/NCC2005 |
8 | 遠端執行任意指令漏洞 | 惡意代碼經過ObjectInputStream對象的readObject方法執行可遠端執行任意指令、通路和控制JVM運作時堆棧,惡意代碼可借由AnnotationInvocationHandler通過任意版本JVM和Apache Commons Collections生成,産生反射鍊 | NC5X/6X |
9 | FS檔案伺服器配置管理存在SQL注入漏洞 | 檔案伺服器漏洞解決方案 | NC633 / NC65 / NCC1811 / NCC1903 / NCC1909 / NCC2005 |
10 | xbrl接口反序列化漏洞(XbrlPersistenceServlet) | xbrl接口反序列化漏洞 | NC65/NCC1811/NCC1903/NCC1909 |