用友NC-Cloud文件服务器用户绕过登陆漏洞
一、漏洞简介
用友NC Cloud大型企业数字化平台,深度应用新一代数字智能技术,完全基于云原生架构,打造开放、互联、融合、智能的一体化云平台,聚焦数智化管理、数智化经营、数智化商业等三大企业数智化转型战略方向,提供涵盖数字营销、财务共享、全球司库、智能制造、敏捷供应链、人才管理、智慧协同等18大解决方案,帮助大型企业全面落地数智化。用友NC-Cloud文件服务器存在一个权限绕过漏洞。
二、影响版本
- 用友NC Cloud 文件服务器
三、资产测绘
- fofa
app="用友-NC-Cloud" - 登录页面
访问/fs/出现如下页面
四、漏洞复现
- 访问目录
/fs/出现如下页面
- 输入任意用户名+密码登录,对登入时的数据进行抓包发现数据包返回的是false,就存在漏洞,修改成true放行就可以。
