多款ZOHO ManageEngine产品SQL注入漏洞

漏洞信息详情

多款ZOHO ManageEngine产品SQL注入漏洞

• CNNVD编号：CNNVD-201408-400
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2014-3997
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2014-08-26
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2019-07-17
  
• 厂        商：
  
  zohocorp
• 漏洞来源：
  Pedro Ribeiro

ZOHO ManageEngine Password Manager Pro和ManageEngine IT360都是美国卓豪（ZOHO）公司的产品。ManageEngine Password Manager Pro是一套密码管理软件；ManageEngine IT360是一套IT运维综合治理平台。

多款ZOHO ManageEngine产品的MetadataServlet servlet中存在SQL注入漏洞，该漏洞源于MetadataServlet.dat文件没有充分过滤‘sv’参数。远程攻击者可利用该漏洞执行任意SQL命令。以下产品和版本受到影响：ManageEngine PMP和PMP MSP 7.0及之前版本，IT360和IT360 MSP 10.3.3 build_10330及之前版本。

目前厂商已经发布了升级补丁以修复此安全问题，详情请关注厂商主页：

http://www.manageengine.com/

来源:MISC

链接:https://raw.githubusercontent.com/pedrib/PoC/master/ManageEngine/me_dc_pmp_it360_sqli.txt

来源:FULLDISC

链接:http://seclists.org/fulldisclosure/2014/Aug/55

来源:FULLDISC

链接:http://seclists.org/fulldisclosure/2014/Aug/85

来源:MISC

链接:https://raw.githubusercontent.com/pedrib/PoC/master/msf_modules/manageengine_dc_pmp_sqli.rb