Y4-96用友-NC-SQL 漏洞描述: 用友NC /portal/pt/link/content 接口存在SQL注入漏洞,攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。 影响版本: NC63、NC633
Y4-95用友-NC-SQL 漏洞描述: 用友NC/portal/pt/psnImage/download 接口存在SQL注入漏洞,攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。 影响版本: NC63、N
Y4-94用友-NC-任意文件上传 漏洞描述: NC系统可利用/portal/pt/file/upload 接口中的 filename 参数及 billitem 参数实现任意文件上传,从而控制服务器 fofa语法: app=“用友-UFIDA-NC” 漏洞复现: payload: POST /por
Y4-93用友-NC-SQL fofa语法: app=“用友-UFIDA-NC” 漏洞复现: payload: http://ip/portal/pt/psnImage/download?pageId=login&pk_psndoc=1%27)%20AND%206322=DBMS_PIPE.RECE
Y4-92用友-NC-SQL 漏洞描述: 用友NC Cloud queryPsnInfo 接口处存在SQL注入漏洞,未授权的攻击者可通过此漏洞获取数据库权限,从而盗取用户数据,造成用户信息泄露。 fofa语法: app=“用友-NC-Cloud” 漏洞复现: payload: GET /ncchr/
Y4-91用友-NC-反序列化RCE 漏洞复现: payload: POST /servlet/~uapim/nc.bs.pub.im.UserAuthenticationServlet HTTP/1.1 Host: Cmd: id Accept-Encoding: gzip User-Agent
Y4-89用友-NC-SQL 漏洞复现: payload: GET /ecp/productonsale/querygoodsgridbycode.json?code=1%27%29+AND+9976%3DUTL_INADDR.GET_HOST_ADDRESS%28CHR%28113%29%7C%7
Y4-86用友-NC-SQL 漏洞描述: 用友NC /portal/pt/yercommon/linkVoucher 接口存在SQL注入漏洞,攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。 影响版本: N
Y4-87用友-NC-SQL 漏洞描述: 用友NC /ebvp/infopub/warningDetailInfo接口存在SQL注入漏洞,攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。 影响版本: NC6
Y4-85用友-NC-RCE 漏洞描述: 用友NC /portal/pt/servlet/pagesServlet/doPost接口存在SQL注入漏洞,攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。 影响
Y4-84用友-NC-任意文件读取 漏洞描述: 用友NC 系统 /portal/pt/downCourseWare/download接口的filename参数存在任意文件读取漏洞,未经身份认证的攻击者可以通过此漏洞获取敏感信息,使系统处于极不安全状态。 网站图片: fofa语法: app=“用友-U
Y4-83用友-NC-任意文件上传 漏洞描述: 用友 NC uploadControl/uploadFile 接口处存在任意文件上传漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。 影响版本: 用友网络科技股份有限公司-NCversion<=6
Y4-82用友-NC-SQL 漏洞描述: 用友NC /portal/pt/oacoSchedulerEvents/isAgentLimit接口中的pk_flowagent参数存在SQL注入漏洞,攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研
Y4-81用友-NC-文件上传 漏洞描述: 用友NC Cloud大型企业数字化平台,深度应用新一代数字智能技术,基于云原生架构,打造开放、互联、融合、智能的一体化云平台,聚焦数智化管理、数智化经营、数智化商业等三大企业数智化转型战略方向,提供涵盖数字营销、财务共享、全球司库、智能制造、敏捷供应链、人
Y4-80用友-NC-SQL 漏洞描述: 用友NC /ebvp/infopub/showcontent 接口处存在SQL注入漏洞,未经身份验证的恶意攻击者利用 SQL 注入漏洞获取数据库中的信息(例如管理员后台密码、站点用户个人信息)之外,攻击者甚至可以在高权限下向服务器写入命令,进一步获取服务器系
Y4-79用友-NC-文件上传 漏洞描述: 用友 NC saveImageServlet 接口处存在任意文件上传漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。 影响版本: 用友网络科技股份有限公司-NCversion<=6.5受影响 网
Y4-77用友-NC-SQL 漏洞描述: 用友NC /portal/pt/servlet/runStateServlet接口存在SQL注入漏洞,攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。 影响版本:
Y4-76用友-NC-SQL 漏洞描述: 用友NC importPml接口存在SQL注入漏洞,攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。 影响版本: 用友网络科技股份有限公司-NC version<=
Y4-75用友-NC-SQL 漏洞描述: 用友NC /service/~iufo/com.ufida.web.action.ActionServlet 接口处存在SQL注入漏洞,未经身份验证的恶意攻击者利用 SQL 注入漏洞获取数据库中的信息(例如管理员后台密码、站点用户个人信息)之外,攻击者甚至可
Y4-74用友-NC-文件上传 漏洞描述: 用友NC Cloud importhttpscer接口处存在任意文件上传漏洞,未经身份攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。 网站图片: 网络测绘: fofa语法: FOFA:icon_hash=
