一、概要

近日，華為云關(guān)注到業(yè)界有安全研究人員披露用友NC BeanShell遠程代碼執(zhí)行漏洞（CNVD-2021-30167），未授權(quán)的攻擊者利用漏洞可以構(gòu)造惡意請求，實現(xiàn)在目標系統(tǒng)上執(zhí)行任意代碼，目前漏洞POC已公開，風(fēng)險較高。

用友NC是一個面向集團企業(yè)的管理軟件，華為云提醒使用用友NC的用戶及時安排自檢并做好安全加固以降低安全風(fēng)險。

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急）

三、漏洞影響范圍

影響版本：

用友NC 6.5.0.00201601201350

四、漏洞處置

目前官方已發(fā)布補丁修復(fù)了該漏洞，請受影響的用戶及時下載補丁進行修復(fù)漏洞：

http://umc.yonyou.com/ump/querypatchdetailed?PK=18981c7af483007db179a236016f594d37c01f22aa5f5d19

華為云WAF具備對該漏洞防御能力。華為云WAF用戶將“Web基礎(chǔ)防護”狀態(tài)設(shè)置為“攔截”模式，具體方法請參見配置Web基礎(chǔ)防護規(guī)則。

注：修復(fù)漏洞前請將資料備份，并進行充分測試。