一、概要

近日，華為云關(guān)注到業(yè)界有安全研究人員披露用友NC BeanShell遠(yuǎn)程代碼執(zhí)行漏洞（CNVD-2021-30167），未授權(quán)的攻擊者利用漏洞可以構(gòu)造惡意請求，實(shí)現(xiàn)在目標(biāo)系統(tǒng)上執(zhí)行任意代碼，目前漏洞POC已公開，風(fēng)險較高。

用友NC是一個面向集團(tuán)企業(yè)的管理軟件，華為云提醒使用用友NC的用戶及時安排自檢并做好安全加固以降低安全風(fēng)險。

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

用友NC 6.5.0.00201601201350

四、漏洞處置

目前官方已發(fā)布補(bǔ)丁修復(fù)了該漏洞，請受影響的用戶及時下載補(bǔ)丁進(jìn)行修復(fù)漏洞：

http://umc.yonyou.com/ump/querypatchdetailed?PK=18981c7af483007db179a236016f594d37c01f22aa5f5d19

華為云WAF具備對該漏洞防御能力。華為云WAF用戶將“Web基礎(chǔ)防護(hù)”狀態(tài)設(shè)置為“攔截”模式，具體方法請參見配置Web基礎(chǔ)防護(hù)規(guī)則。

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。