首页 » 安全预警 » 正文

【高危安全通告】用友NC远程命令执行漏洞

2020年6月4日,安全狗威胁情报中心监测到有国内安全组织披露用友NC存在反序列化远程命令执行“0-Day”漏洞。经安全狗安全团队分析,漏洞真实存在,攻击者通过构造特定的HTTP请求,可以成功利用漏洞在目标服务器上执行任意命令,该漏洞风险极大,可能造成严重的信息泄露事件。

用友NC是一款企业级管理软件,在近万家大中型企业使用。实现建模、开发、继承、运行、管理一体化的IT解决方案信息化平台,其代码实现逻辑上存在多处反序列化漏洞。

黑客通过构造特定的HTTP请求,成功利用漏洞可在目标服务器上执行任意命令,漏洞暂无安全补丁发布,属0Day等级,风险极大。黑客利用漏洞可完全控制服务器,获取服务器的敏感信息。

安全狗威胁情报中心提醒用友NC用户尽快采取安全措施阻止漏洞攻击。

用友NC为商业软件,可直接联系官方取得安全升级方案;

在官方安全补丁发布之前,临时关闭网站对外访问。

发表评论