漏洞描述
用友NC系统是一种集成管理企业各项业务流程的信息化解决方案,涵盖财务、人力资源、供应链管理等多个方面。该漏洞存在于用友NC-Cloud的/ncchr/attendstaff/getStaffInfo接口中,攻击者可以通过构造恶意的SQL语句,获取数据库中的敏感信息(如管理员密码、用户个人信息),甚至可能在高权限情况下向服务器写入恶意文件,进一步获取服务器权限。
用友NC-Cloud /ncchr/attendstaff/getStaffInfo SQL 注入漏洞
PoC代码
暂无相关漏洞推荐
- SohuTV CacheCloud 跨站脚本漏洞 (CVE-2025-15221)
- CacheCloud 代码注入漏洞
- POC JD Cloud BE6500 命令注入漏洞
- 用友NC及NC Cloud系统 /uapws/service/nc.itf.bap.service.IBapIOService getBapTableDatas SQL 注入漏洞
- 用友U8Cloud /u8cloud/yls SQL 注入漏洞
- 用友U8Cloud /u8cloud/openapi/ce.paper.query SQL 注入漏洞
- 用友 U8Cloud /u8cloud/api/hrta/returnaway/submit SQL 注入漏洞
- 用友 U9Cloud FinancialIndexWebService 未授权反序列化漏洞
- Astro Web Framework Cloudflare /_image 服务器端请求伪造漏洞(CVE-2025-58179)
- 用友NC /portal/pt/portalcombo/importCombo XML 外部实体注入漏洞
- 用友NC存在 oncelogin/getAuth SQL注入漏洞
- 用友NC /portal/pt/oacoSchedulerEvents/uncancelEvent SQL 注入漏洞
- 用友NC /ebvp/register/qrySubPurchaseOrgByParentPk SQL 注入漏洞