| 打补丁顺序 | 漏洞名称 | 问题描述 | 版本 |
| 1 | NC&NCC 2020-09-10安全补丁合集 | 反序列化、远程命令执行等通用补丁方案 | NC6X/NCC |
| 2 | NC6X安全补丁集 | 6X版本补丁集,解决一些通用漏洞 | NC63/NC65 |
| 3 | NCC1909,1903,2005安全必打补丁合集 | NCC版本补丁集,解决一些通用漏洞 | NCC1909/NCC1903/NCC2005 |
| 4 | BSH远程代码执行漏洞 BeanShell组件漏洞 bash.servlet.BshServlet 远程命令执行漏洞 CNVD-2021-30167 | 用友NC基于Java平台实现,由于Java BeanShell组件自身安全控制机制问题,该组件可被攻击者利用,攻击者通过提交精心构造HTTP请求,可远程执行任意命令,漏洞等级定义为严重。 | NC57/NC63/NC65/NCC1903/NCC1909/NCC2005 |
| 5 | NC FileReceiveServlet任意文件写入 | 上传文件处未作类型限制,未经身份验证的攻击者可通过向目标系统发送特制数据包来利用此漏洞,成功利用此漏洞的远程攻击者可在目标系统上传任意文件执行命令。 | NC65/NCC1903/NCC1909/NCC2005 |
| 6 | NC远程命令执行0-Day漏洞 | 用友NC 基于java平台实现。JNDI反序列化漏洞是java设计远程调用的一个缺陷,版本含盖jdk6、7、8。经过不断修复及完善已经在jdk6u211、jdk7u201、jdk8u191以上版本解决(JNDI) | NC56/NC57/NC63/NC65/NCC1903/NCC1909 |
| 7 | 任意文件上传漏洞 | 漏洞成因在于上传文件处未作类型限制,未经身份验证的攻击者可通过向目标系统发送特制数据包来利用此漏洞,成功利用此漏洞的远程攻击者可在目标系统上传任意文件执行命令。请帮看看,谢谢 | NC65/NCC1903/NCC1909/NCC2005 |
| 8 | 远程执行任意指令漏洞 | 恶意代码经过ObjectInputStream对象的readObject方法执行可远程执行任意指令、访问和控制JVM运行时堆栈,恶意代码可借由AnnotationInvocationHandler通过任意版本JVM和Apache Commons Collections生成,产生反射链 | NC5X/6X |
| 9 | FS文件服务器配置管理存在SQL注入漏洞 | 文件服务器漏洞解决方案 | NC633 / NC65 / NCC1811 / NCC1903 / NCC1909 / NCC2005 |
| 10 | xbrl接口反序列化漏洞(XbrlPersistenceServlet) | xbrl接口反序列化漏洞 | NC65/NCC1811/NCC1903/NCC1909 |
![Java小案例——随机数猜测随机数猜测[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)