用友NC是由用友公司开发的一套面向大型企业和集团型企业的管理软件产品系列。这一系列产品基于全球最新的互联网技术、和技术,旨在帮助企业创新管理模式、引领商业变革。
0x02 漏洞概述
用友NC /portal/pt/downTax/download接口的classid参数存在SQL注入漏洞,攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。
0x03 影响范围
NC6.5
0x04 复现环境
FOFA:app=”用友-UFIDA-NC”
0x05 漏洞复现
PoC
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
请登录后查看评论内容