 收集宁静公司Digital Defense正在本周两宣布了由该公司缺点研讨小组(VRT)正在ManageEngine产品中发明的6个宁静缺点,触及的产品包含:Logs360,EventLog Analyzer战Applications Manager。 ManageEngine产品系列专注于企业内乱的IT办理。据该公司称,从全国500强到中小企业,正在举世200多个国度战地区,有超出12万家企业正正在借助ManageEngine东西办理收集根柢法子、数据中心、营业系统、IT效劳及宁静。值得提出的是,正在每五家全国500强企业中便有三家操纵ManageEngine供给的妙技撑持。 凡是来说,企业级硬件中的缺点大要会带去灾难性成果,特别是当它们被通用缺点评分系统(CVSS)评定为“枢纽(critical)”的工夫。 上面让我们去看看那6个缺点的具体细节: 第一个缺点:DDI-VRT-2018-10 描摹:容许无需身份考证的进犯者经由过程/agentUpload上传尽情文件,最终招致远程代码实施 受影响的使用程序/版本: EventLog Analyzer 11.8(Build 11080) Log360 5.3(Build 5036) 第两个缺点:DDI-VRT-2018-11 描摹:容许无需身份考证的进犯者经由过程/ servlet / aam_servercmd实施埋伏SQL注进,最终招致受害者落空对配备的完整掌握权限。 受影响的使用程序/版本: Applications Manager 13(Build 13420) 第三个缺点:DDI-VRT-2018-12 描摹:容许无需身份考证的进犯者经由过程/ servlet / SyncEventServlet实施埋伏SQL注进,最终招致受害者落空对配备的完整掌握权限。 受影响的使用程序/版本: Applications Manager 13(Build 13420) 第四个缺点:DDI-VRT-2018-13 描摹:容许无需身份考证的进犯者经由过程/ servlet / FailOverHelperServlet偷取本地文件。 受影响的使用程序/版本: Applications Manager 13(Build 13420) 第五个缺点:DDI-VRT-2018-14 缺点:容许无需身份考证的进犯者经由过程/ servlet / MenuHandlerServlet实施埋伏SQL注进,最终招致受害者落空对配备的完整掌握权限。 受影响的使用程序/版本: Applications Manager 13(Build 13420) 第六个缺点:DDI-VRT-2018-15 缺点:容许无需身份考证的进犯者经由过程/ servlet / OPMRequestHandlerServlet 偷取API稀钥。 受影响的使用程序/版本: Applications Manager 13(Build 13420) 缺点研讨小组表示,他们曾经将缺点传达给了ManageEngine,而ManageEngine圆相貌前已为使用程序上肯定的每以个缺点供给了对应的宁静补钉。同时,已建补的使用程序曾经能够从ManageEngine的网站下载。 本文由 乌客视界 综开收集收拾整顿,图片源自收集;转载请说明“转自乌客视界”,并附上链接。 1、转载或引用本网站内容须注明原网址,并标明本网站网址(https://www.wnceo.com)。 2、本网站部分投稿来源于“网友”,文章内容请反复甄别。若涉及侵权请移步网站底部问题反馈进行反映。 3、对于不当转载或引用本网站内容而引起的民事纷争、行政处理或其他损失,本网站不承担责任。 4、对不遵守本声明或其他违法、恶意使用本网站内容者,本网站保留追究其法律责任的权利。 |
简体中文
繁體中文
English
Russian
日本語
Deutsch
한국 사람
French
بالعربية
TÜRKÇE
português
คนไทย
访问手机版
ad
