用友NC反序列化远程命令执行“0-Day”漏洞风险通告

2020年6月4日，腾讯安全威胁情报中心监测到有国内安全组织披露用友NC存在反序列化远程命令执行“0-Day”漏洞。经腾讯安全团队分析，漏洞真实存在，攻击者通过构造特定的HTTP请求，可以成功利用漏洞在目标服务器上执行任意命令，该漏洞风险极大，可能造成严重的信息泄露事件。

【漏洞描述】
用友NC是一款企业级管理软件，在近万家大中型企业使用。实现建模、开发、继承、运行、管理一体化的IT解决方案信息化平台，其代码实现逻辑上存在多处反序列化漏洞。

黑客通过构造特定的HTTP请求，成功利用漏洞可在目标服务器上执行任意命令，漏洞暂无安全补丁发布，属0Day等级，风险极大。黑客利用漏洞可完全控制服务器，获取服务器的敏感信息。

腾讯安全威胁情报中心提醒用友NC用户尽快采取安全措施阻止漏洞攻击。

【漏洞等级】高危，0day

【影响版本】
全版本

【漏洞缓解建议】
1.用友NC为商业软件，可直接联系用友官方获得安全升级方案；

2.在官方安全补丁发布之前，建议相关企业尽快临时关闭网站的对外访问；

3.腾讯安全团队密切关注该漏洞的最新进展，并为企业及时提供相应的安全解决方案。