必打！NC安全补丁更新通知（20200310）

近期NC项目发现远程执行服务器任意指令高危漏洞，黑客利用此漏洞，可直接破坏软件系统、获取服务器权限、植入木马病毒，攻击服务器等。

针对此漏洞技术服务与运营部紧急发布相关安全补丁来避免客户服务器被攻击的风险。该补丁涉及NC5X和NC6X两个系列版本相关产品，请一线机构务必高度重视，及时给所属机构客户进行安装，规避项目风险。

【漏洞详细信息】

在NC产品中使用了一个三方Apache基础组件jar包，在特定版本存在漏洞，恶意代码可以经过ObjectInputStream对象的readObject方法执行可远程执行任意指令、访问和控制JVM运行时堆栈，恶意代码可借由AnnotationInvocationHandler通过任意版本JVM和Apache Commons Collections生成，产生反射链，实现对服务器的攻击行为。