【安全通告】用友NC反序列化远程命令执行“0-Day”漏洞风险通告
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,有国内安全组织披露用友NC存在反序列化远程命令执行“0-Day”漏洞。经腾讯安全团队分析,漏洞真实存在,攻击者通过构造特定的HTTP请求,可以成功利用漏洞在目标服务器上执行任意命令.
该漏洞风险极大,可能造成严重的信息泄露事件。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
用友NC是一款企业级管理软件,在近万家大中型企业使用。实现建模、开发、继承、运行、管理一体化的IT解决方案信息化平台,其代码实现逻辑上存在多处反序列化漏洞。
黑客通过构造特定的HTTP请求,成功利用漏洞可在目标服务器上执行任意命令,漏洞暂无安全补丁发布,属0Day等级,风险极大。
风险等级
高风险
漏洞风险
黑客利用漏洞可完全控制服务器,获取服务器敏感信息
影响版本
全版本
修复补丁
该漏洞为 “0-Day”漏洞 ,官方暂未发布修复补丁
修复建议
用友官方暂未发布漏洞修复更新,腾讯云安全建议您:
1. 用友NC为商业软件,可直接联系用友官方获得安全升级方案;
2. 在官方安全补丁发布之前,建议相关企业尽快临时关闭网站的对外访问,或通过安全组严格限制用友NC的访问权限;
3. 腾讯云安全团队密切关注该漏洞的最新进展,并为企业及时提供相应的安全解决方案。