一、漏洞简介2025年9月24日，用友安全中心发布关于U8cloud所有版本NCCloudGatewayServlet接口存在命令执行漏洞的安全公告，该漏洞源于 NCCloudGatewayServlet 在处理用户请求时 token 验证使用默认值并且缺少调用对象限制，导致攻击者可注入任意命令、上传恶意文件从而控制服务器权限。<img src="https://nc0.cdn.z