关于NC系统的命令执行漏洞ActionInvokeService的安全通告

一、漏洞描述

通过调用ActionInvokeService.class方法接口进而调用到Execute.class可执行任意命令。利用此漏洞黑客可直接破坏软件系统、获取服务器权限、植入木马病毒，或配合内网穿透工具间接获取数据库权限、获取客户敏感数据。

二、影响版本

NC63 / NC633 / NC65 

三、修复方案

对ActionInvokeService转发的请求进行黑名单控制

打对应补丁，重启服务，各版本补丁获取方式如下：

1.NC63方案

补丁名称:patch_63命令执行漏洞CNVD-C-2023-320325补丁

补丁编码:NCM_NC6.5_000_UAP_BTS_20230614_GP_710456012

2.NC633方案

补丁名称:patch_633命令执行漏洞CNVD-C-2023-320325补丁

补丁编码:NCM_NC6.33_000_UAP_BTS_20230614_GP_710570324

3.NC65方案

补丁名称:patch_65命令执行漏洞CNVD-C-2023-320325补丁

补丁编码:NCM_NC6.3_000_UAP_BTS_20230614_GP_710547929