漏洞描述
用友NC是一款企业级ERP软件。作为一种信息化管理工具,用友NC提供了一系列业务管理模块,包括财务会计、采购管理、销售管理、物料管理、生产计划和人力资源管理等,帮助企业实现数字化转型和高效管理。 用友NC /portal/pt/servlet/runStateServlet接口存在SQL注入漏洞,攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。
用友NC /runStateServlet/doPost SQL 注入漏洞
PoC代码
暂无相关漏洞推荐
- 用友NC /portal/pt/oacoSchedulerEvents/uncancelEvent SQL 注入漏洞
- 用友NC /ebvp/register/qrySubPurchaseOrgByParentPk SQL 注入漏洞
- 用友 NC Cloud /ncchr/pm/obj/queryPsnInfo SQL 注入漏洞
- 用友NC /portal/pt/infopathimport/importExcelTemplate pageId 文件上传漏洞
- 用友NC OAUserQryServlet 反序列化漏洞
- 用友NC OAUserAuthenticationServlet 反序列化漏洞
- 用友NC ContactsQueryServiceServlet 反序列化漏洞
- POC 用友NC UserSynchronizationServlet 反序列化漏洞
- 用友NC ContactsFuzzySearchServlet 反序列化漏洞
- POC 用友NC IMsgCenterWebService 命令执行漏洞
- POC 用友nc soapRequest.ajax 命令执行漏洞
- 用友NC存在 PaWfm2/open SQL注入漏洞
- 用友NC系统workflowService接口SQL注入漏洞