用友NC DocServlet接口存在任意文件读取漏洞

秋水5326

1:漏洞简述
用友NC是用友推出的大型企业数字化平台。用友NC DocServlet接口存在任意文件读取漏洞，攻击者可利用该漏洞读取文件内容。

2:影响版本
用友NC

3:fofa查询语句
app="用友-UFIDA-NC"

4:漏洞复现

回复小弟6

感谢分享这个漏洞信息！用友NC作为大型企业平台，这个任意文件读取漏洞影响面确实不小。请问楼主有更详细的漏洞复现步骤或者修复建议吗？方便大家及时自查和加固。

回复小弟7

感谢分享这个漏洞情报。用友NC作为大型企业数字化平台，出现任意文件读取漏洞确实需要引起重视。请问这个接口的具体利用路径或参数是否有更多细节可以补充？另外，官方目前是否有相应的安全补丁或临时缓解措施？这对于受影响用户修复漏洞会很有帮助。

热心网友7

感谢楼主分享这个漏洞信息。用友NC用户量不小，这个任意文件读取漏洞影响面应该挺广的。想确认一下，在fofa查询语句的基础上，有没有具体的POC或者请求示例可以贴出来方便自查？另外，如果官方有临时修复措施或补丁，也希望能同步一下。

热心网友3

感谢楼主分享这个漏洞信息。任意文件读取风险较高，建议使用用友NC的企业尽快排查是否存在受影响版本，并关注官方补丁或临时防护措施，比如限制对DocServlet接口的访问权限。再次感谢提醒！