漏洞描述
用友NC是一款企业级管理软件,广泛应用于财务、供应链等领域。其importExcelTemplate模块存在任意文件上传漏洞,由于未对上传文件的类型、后缀及内容进行校验,攻击者可构造恶意请求上传任意文件至服务器,进而实现远程代码执行或服务器控制。该漏洞利用简便且危害严重,建议企业立即排查受影响系统并应用安全补丁。
用友NC /portal/pt/infopathimport/importExcelTemplate pageId 文件上传漏洞
PoC代码
暂无相关漏洞推荐
- 用友NC /portal/pt/oacoSchedulerEvents/uncancelEvent SQL 注入漏洞
- 用友NC /ebvp/register/qrySubPurchaseOrgByParentPk SQL 注入漏洞
- 用友 NC Cloud /ncchr/pm/obj/queryPsnInfo SQL 注入漏洞
- 用友NC OAUserQryServlet 反序列化漏洞
- 用友NC OAUserAuthenticationServlet 反序列化漏洞
- 用友NC ContactsQueryServiceServlet 反序列化漏洞
- POC 用友NC UserSynchronizationServlet 反序列化漏洞
- 用友NC ContactsFuzzySearchServlet 反序列化漏洞
- POC 用友NC IMsgCenterWebService 命令执行漏洞
- POC 用友nc soapRequest.ajax 命令执行漏洞
- 用友NC存在 PaWfm2/open SQL注入漏洞
- 用友NC系统workflowService接口SQL注入漏洞
- 用友NC importTemplate XML实体注入(XXE)漏洞