关于NC及NC Cloud系统的企业绩效JNDI注入漏洞安全通告

一、漏洞描述

企业绩效模块存在文件上传漏洞，通过WeChatQyServlet非法修改请求参数进行JNDI注入，从而上传webshell实现控制服务器，远程执行任意命令。

二、影响版本

NC65 / NCC1903 / NCC1909 / NCC2005/ NCC2105 / NCC2111 / YonBIP高级版2207

三、修复方案

打对应补丁，重启服务，各版本补丁获取方式如下：

1.NC65方案

补丁名称:patch_65企业绩效JNDI注入参数校验

补丁编码:NCM_NC6.5_102_1820_20230809_GP_596345346

2.NCC1903方案

补丁名称:patch_1903企业绩效JNDI注入参数校验

补丁编码:NCM_NCCLOUD1903_18_1830_20230809_GP_596387947

3.NCC1909方案

补丁名称:patch_1909企业绩效JNDI注入参数校验

补丁编码:NCM_NCCLOUD1909_18_1820_20230809_GP_596416687

4.NCC2005方案

补丁名称:patch_2005企业绩效JNDI注入参数校验

补丁编码:NCM_NCCLOUD2020.05_18_1820_20230809_GP_596445844

5.NCC2105方案

补丁名称:patch_2105企业绩效JNDI注入参数校验

补丁编码:NCM_NCCLOUD2021.05_18_1830_20230809_GP_596465082

6.NCC2111方案

补丁名称:patch_2111企业绩效JNDI注入参数校验

补丁编码:NCM_NCCLOUD2021.11_18_1830_20230809_GP_596490145

7.YonBIP高级版2207方案

补丁名称:patch_2207安全漏洞参数校验

补丁编码:SUPPORT-YonBIP高级版2207-Security-20230809162427-6981