漏洞描述
用友 NC 是一种商业级的企业资源规划平台,为企业提供全面的管理解决方案,包括财务管理、采购管理、销售管理、人力资源管理等功能,实现企业的数字化转型和业务流程优化。用友 NC 系统接口 /portal/pt/yercommon/linkVoucher 的 pkBill 参数存在SQL注入漏洞。攻击者可通过输入恶意 SQL 代码,突破系统原本设定的访问规则,未经授权访问、修改或删除数据库中的各类敏感信息,包括但不限于员工个人资料、企业核心业务数据等。这不仅可能导致企业内部信息大面积泄露,影响业务流程的正常运转,甚至可能引发系统崩溃、权限被恶意提升等一系列严重后果。