首页 >> 中亚娱乐平台-ManageEngine企业级IT运维管理产品曝多个严重漏洞

中亚娱乐平台-ManageEngine企业级IT运维管理产品曝多个严重漏洞

2020-01-08 13:04:18

中亚娱乐平台-ManageEngine企业级IT运维管理产品曝多个严重漏洞

中亚娱乐平台,更多全球网络安全资讯尽在e安全官网www.easyaq.com

e安全2月2日讯 网络安全公司digital defense的研究人员发现 manageengine 的企业级 it 运维管理产品存在多个严重的漏洞,包括未经身份验证的文件上传漏洞、盲目的sql注入漏洞、远程代码执行漏洞和用户枚举漏洞。manageengine已在其官网发布漏洞补丁。

哪些应用程序受影响?

zoho(卓豪)旗下manageengine主要提供网络、数据中心(idc)、各类安全设备以及安全解决方案,全球范围内拥有数万客户,其中包括财富500强公司。

受这些漏洞影响的应用程序包括:

servicedesk plus;

service plus msp;

opmanager网络监控产品;

network configuration manager;

ip地址管理应用程序oputils;

带宽监控和流量分析产品netflow analyzer;

防火墙配置和日志管理产品firewall analyzer。

未经身份验证的文件上传漏洞影响了manageenegine servicedesk plus帮助台软件,未经身份验证的攻击者可利用该漏洞上传javascript web shell,借助system权限执行任意命令。受影响的应用程序为:servicedesk plus msp 9.3(build 9302)和servicedesk plus 9.3 (build 9328)。

sql注入漏洞允许未经身份验证的攻击者完全控制应用程序,甚至控制底层主机,受影响的应用程序为:

opmanager 12.3 (build 123002)

firewall analyzer 12.3 (build 12.3.008)

network configuration manager 12.3 (build 12.3.008)

oputils 12.3 (build 12.3.005)

netflow analyzer 12.3 (build 12.3.009)

这些应用程序还受到枚举漏洞影响,其允许攻击者访问用户信息,例如用户名、电子邮箱和电话号码;受未经身份验证的xml外部实体(xxe)注入漏洞影响,允许攻击者访问运行manageengine应用程序的主机上的文件内容。

digital defense公司表示,manageengine迅速响应了漏洞报告,并发布了更新修复漏洞,应用程序层面的漏洞仍是安全厂商关注的重点。

用户可通过manageengine官网下载已打补丁的应用程序。

网络电玩城app

上一篇:北美选手协会宣布允许直播超级服 引职业选手热议
下一篇:我不能当老大,谁也别想当:英国与欧陆的历史纠葛