近日，国家信息安全漏洞库（CNNVD）收到关于用友NC BeanShell远程代码执行漏洞（CNNVD-202106-205）情况的报送。成功利用漏洞的攻击者可以在无需管理员授权的情况下在目标服务器上执行系统命令，获取服务器系统权限，最终控制目标服务器。用友NC 6.5版本受此漏洞影响。目前，用友官方已经发布了解决方案修复了漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

一、漏洞介绍

用友NC是中国用友集团旗下一款面向集团企业的管理软件。用友NC存在远程代码执行漏洞，该漏洞源于用友NC对外开放了BeanShell接口，攻击者可以在未授权的情况下直接访问该接口，并构造恶意数据执行任意代码，从而获取服务器权限。

二、危害影响

成功利用漏洞的攻击者可以在无需管理员授权的情况下在目标服务器上执行系统命令，获取服务器系统权限，最终控制目标服务器。用友NC 6.5版本受此漏洞影响。

三、修复建议

目前，用友官方已经发布了解决方案修复了漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。授权用户可以访问下载链接进行下载：

http://umc.yonyou.com/ump/querypatchdetailedmng?PK=18981c7af483007db179a236016f594d37c01f22aa5f5d19。

本通报由CNNVD技术支撑单位——内蒙古洞明科技有限公司、网神信息技术（北京）股份有限公司、深信服科技股份有限公司、杭州安恒信息技术股份有限公司、北京天融信网络安全技术有限公司、北京山石网科信息技术有限公司、北京华云安信息技术有限公司、北京鸿腾智能科技有限公司、新华三技术有限公司、数字观星应急响应中心、上海斗象信息科技有限公司等技术支撑单位提供支持。

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。联系方式: [email protected]