多款ZOHO ManageEngine产品SQL注入漏洞

漏洞信息详情

多款ZOHO ManageEngine产品SQL注入漏洞

• CNNVD编号：CNNVD-201408-352
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2014-3996
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2014-08-22
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-12-08
  
• 厂        商：
  
  manageengine
• 漏洞来源：
  Pedro Ribeiro

ZOHO ManageEngine Desktop Central、ManageEngine Password Manager Pro和ManageEngine IT360都是美国卓豪（ZOHO）公司的产品。ManageEngine Desktop Central是一套提供软件分发、补丁管理等功能的桌面管理解决方案；ManageEngine Password Manager Pro是一套密码管理软件；ManageEngine IT360是一套IT运维综合治理平台。

多款ZOHO ManageEngine产品的LinkViewFetchServlet servlet中存在SQL注入漏洞，该漏洞源于LinkViewFetchServlet.dat文件没有充分过滤‘sv’参数。远程攻击者可利用该漏洞执行任意SQL命令。以下产品和版本受到影响：ManageEngine DC和Desktop Central MSP 9.0 build_90043及之前版本，PMP和PMP MSP 7.0 build_7003及之前版本，IT360和IT360 MSP 10.3.3 build_10330及之前版本。

目前厂商已经发布了升级补丁以修复此安全问题，详情请关注厂商主页：

http://www.manageengine.com/

来源:raw.githubusercontent.com

链接:https://raw.githubusercontent.com/pedrib/PoC/master/ManageEngine/me_dc_pmp_it360_sqli.txt

来源:FULLDISC

链接:http://seclists.org/fulldisclosure/2014/Aug/55

来源:raw.githubusercontent.com

链接:https://raw.githubusercontent.com/pedrib/PoC/master/msf_modules/manageengine_dc_pmp_sqli.rb

来源:SECUNIA

链接:http://secunia.com/advisories/61255

来源: BID

链接:http://www.securityfocus.com/bid/69305