用友 YonBIP 是一款基于云原生架构的企业级应用平台，主要面向企业提供业务流程管理和数据处理等服务，广泛应用于企业业务系统场景。

NC Cloud 是用友公司推出的大型企业数字化平台，覆盖数字营销、智能制造、财务共享等核心业务领域，包含业务中台、数据中台等技术组件，为企业提供统一的业务管理与运行支撑。

用友 NC 是用友网络科技股份有限公司面向大型集团企业推出的 ERP 管理软件，支持多组织、多币种、多会计准则，覆盖财务、供应链、制造、人力等核心业务模块。

近日，360漏洞研究院捕获到用友BIP、NC Cloud、NC存在权限管理不当漏洞，可利用ActionInvokeService漏洞实现任意文件上传，进而获取服务器控制权限。

360 漏洞研究院已复现用友BIP、NC Cloud、NC无条件任意文件上传漏洞，利用该漏洞可在目标服务器中写入 WebShell 文件。

图1 发送Payload

图2 用友BIP、NC Cloud、NC无条件任意文件上传漏洞复现

受影响软件版本：

NC / NC Cloud：NC65、NCC1903、NCC1909、NCC2005、NCC2105、NCC2111

YonBIP：YonBIP 高级版 2207、2305、2312、2505

正式防护方案：

官方已发布补丁，商业化产品，请联系官方获取更新补丁。

 https://security.yonyou.com/#/noticeInfo?id=766​

360安全智能体：支持该漏洞攻击的智能分析。

360测绘云 Quake：默认支持该产品的指纹识别。

360高级持续性威胁预警系统：预计 2026年02月10日发布规则更新包，支持该漏洞利用行为的检测。

360资产与漏洞检测管理系统：预计 2026年02月10日发布规则更新包，支持该漏洞利用行为的检测。
本地安全大脑：默认支持该漏洞的PoC检测。

2026年2月9日，360漏洞研究院发布本安全风险通告。

https://security.yonyou.com/#/noticeInfo?id=766

建议您订阅360数字安全-漏洞情报服务，获取更多漏洞情报详情以及处置建议，让您的企业远离漏洞威胁。

邮箱：360VRI@360.cn

网址：https://vi.loudongyun.360.net