风险提示｜用友NC存在多个高危漏洞

漏洞详情：【用友NC NCMessageServlet反序列化漏洞】(https://stack.chaitin.com/vuldb/detail?id=591a76df-7c85-4ed7-8f63-5be7548b3bb3)

用友NC是用友软件公司开发的企业资源计划（ERP）系统。该系统采用模块化设计，包括但不限于财务管理、供应链管理、人力资源管理和生产管理模块，力图实现企业各部门之间的信息集成。用户可以根据企业的实际需求选择合适的模块。它旨在提供详细的业务数据以协助企业做出决策。

近日，微步在线发布安全公告文章称，用友NC系统已修复反序列化远程代码执行漏洞。

长汀应急小组对漏洞进行分析后，根据漏洞原理编写了X-RAY远程检测工具和牧云本地检测工具。分别支持远程检测和本地检测，可供大家下载使用进行自测。

## **漏洞描述**

用友NC正在处理客户端请求数据。反序列化用户提供的数据时检查和过滤不充分可能会导致恶意反序列化操作和在操作系统上执行命令。

长亭科技安全研究人员经过分析发现，该系统存在多个反序列化利用点。目前官方的漏洞修复计划是对已知的利用点进行反序列化白名单控制，并修复部分利用链依赖关系。未来系统出现类似问题的可能性还是很大的。

## **检测工具**

### **X-RAY远程检测工具**

复制链接：[https://stack.chaitin.com/tool/detail?id=1](https://stack.chaitin.com/tool/detail?id=1) 前往xray - CT Stack 安全社区下载最新版本的xray。

执行：/xray ws --poc poc-yaml-yongyou-nc-ncmessageservlet-rce --url [http://example.com](http://example.com) 进行扫描。

## **影响范围**

用友NC=6.5

## **解决方案**

由于官方公开修复方案并未从根本上解决相关反序列化问题，建议相关系统用户尽快前往参考链接进行补丁修复，同时限制访问来源，尽量避免用友NC系统暴露在公网或不安全的网络环境中。

## **产品支持**

- 云图：默认支持本产品的指纹识别，同时也支持该漏洞的PoC原理检测。

- 漏洞：已支持该漏洞的PoC原理检测。

- 雷驰：默认支持该漏洞检测。

- All-in-one：默认支持反序列化漏洞检测，已发布规则升级包支持该漏洞检测。

- 牧云：默认支持本产品的应用资产集合。

## **参考链接**

[https://security.yonyou.com/#/patchList](https://security.yonyou.com/#/patchList)