严重

用友NC NCMessageServlet 接口存在反序列化

披露时间：

2023-05-17

更新时间：

2025-03-24

CT 编号

CT-532073

CVE 编号

N/A

CNVD 编号

N/A

CNNVD 编号

N/A

原理分类

反序列化漏洞

漏洞评分

9.8

漏洞描述

用友NC存在 NCMessageServlet反序列漏洞，影响版本：<=NC6.5

漏洞危害

攻击者可以通过该漏洞执行任意代码，导致系统被攻击与控制

检测工具

远程检测工具下载

执行：./xray ws --poc poc-yaml-yongyou-nc-ncmessageservlet-rce --url http://example.com 即可扫描。

修复方法

在确保业务不受影响的前提下，可以暂时拦截对/servlet/~baseapp/nc.message.bs.NCMessageServlet接口的访问请求。
限制访问来源地址，如非必要，不要将系统开放在互联网上。
升级产品至最新版本以修复此漏洞。

参考链接

长亭百川云