关于NC及NC Cloud系统的accept.jsp任意文件上传漏洞的安全通告

 关于NC及NC Cloud系统的accept.jsp任意文件上传漏洞的安全通告

漏洞触发点在目标地址下/aim/equipmap/accept.jsp路径，构造POST数据包上传恶意文件。上传一个输出随机字符串crasym的随机字符串.jsp文件；此漏洞可以给NC服务器预埋后门，从而可以随意操作服务器。

影响版本：NC65、NCC1811、NCC1903、NCC1909、NCC2020.05

解决方案：

1、删除文件夹下所有内容1）、对于 NC65、NCC1811、NCC1903、NCC1909 版本文件路径为：home\work\server\bright\localhost\aim 文件夹2）、对于NCC2020.05 版本文件路径为：home\work\server\localhost\aim 文件夹2、打补，解压补丁【patch_非法文件上传校验.zip】后，将解压文件中的replacement\hotwebs文件夹直接覆盖home 中的hotwebs文件夹即可。

accept.jsp任意文件上传漏洞修复方案：

1.https://dsp.yonyou.com/patchcenter/patchdetail/10221659670973772247/0/2