用友NC complainbilldetail SQL注入

0x01 产品简介

用友NC是由用友公司开发的一套面向大型企业和集团型企业的管理软件产品系列。这一系列产品基于全球最新的互联网技术、云计算技术移动应用技术,旨在帮助企业创新管理模式、引领商业变革。

0x02 漏洞概述

用友NC /ebvp/advorappcoll/complainbilldetail接口存在SQL注入漏洞,攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。

0x03 影响范围

version= NC633、NC65

0x04 复现环境

FOFA:app=”用友-UFIDA-NC”

0x05 漏洞复现

PoC

 

© 版权声明
THE END
喜欢就支持一下吧
点赞14 分享
评论 共13条

请登录后发表评论

    请登录后查看评论内容