ZOHO ManageEngine DeviceExpert 信息泄露漏洞

漏洞信息详情

ZOHO ManageEngine DeviceExpert 信息泄露漏洞

• CNNVD编号：CNNVD-201408-511
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2014-5377
  
• 漏洞类型：
  
  
  信息泄露
  
• 发布时间：
  
  2014-08-27
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-09-05
  
• 厂        商：
  
  manageengine
• 漏洞来源：
  Pedro Ribeiro

ZOHO ManageEngine DeviceExpert是美国卓豪（ZOHO）公司的一套网络配置与变更管理解决方案。该方案能够配置多个厂商的网络设备，并不间断地监控配置的变化，发出相应的通知，同时提供详细的操作审查记录。

ZOHO ManageEngine DeviceExpert 5.9 build 5981之前版本的ReadUsersFromMasterServlet中存在安全漏洞。远程攻击者可通过发送直接请求利用该漏洞获取用户账户的证书。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.manageengine.com/products/device-expert/release-notes.html

来源:packetstormsecurity.com

链接:http://packetstormsecurity.com/files/128019/ManageEngine-DeviceExpert-5.9-Credential-Disclosure.html

来源:EXPLOIT-DB

链接:http://www.exploit-db.com/exploits/34449

来源:FULLDISC

链接:http://seclists.org/fulldisclosure/2014/Aug/75

来源:XF

链接:http://xforce.iss.net/xforce/xfdb/95562

来源:raw.githubusercontent.com

链接:https://raw.githubusercontent.com/pedrib/PoC/master/me_deviceexpert-5.txt

来源:FULLDISC

链接:http://seclists.org/fulldisclosure/2014/Aug/76

来源:FULLDISC

链接:http://seclists.org/fulldisclosure/2014/Aug/84

来源:www.manageengine.com

链接:http://www.manageengine.com/products/device-expert/release-notes.html

来源:BID

链接:http://www.securityfocus.com/bid/69443

来源:BUGTRAQ

链接:http://www.securityfocus.com/archive/1/archive/1/533250/100/0/threaded