网络安全公司Digital Defense在本周二公布了由该公司漏洞研究小组(VRT)在ManageEngine产品中发现的6个安全漏洞,CISSP培训涉及的产品包括:Logs360,EventLog Analyzer和Applications Manager。
ManageEngine产品系列专注于企业内的IT管理。据该公司称,从世界500强到中小企业,在全球200多个国家和地区,有超过12万家企业正在借助ManageEngine工具管理网络基础设施、数据中心、业务系统、IT服务及安全。值得提出的是,在每五家世界500强企业中就有三家使用ManageEngine提供的技术支持。
通常来讲,企业级软件中的漏洞可能会带来灾难性后果,CISSP培训尤其是当它们被通用漏洞评分系统(CVSS)评定为“关键(critical)”的时候。
下面让我们来看看这6个漏洞的具体细节:
第一个漏洞:DDI-VRT-2018-10
描述:允许无需身份验证的攻击者通过/agentUpload上传任意文件,最终导致远程代码执行
受影响的应用程序/版本:
EventLog Analyzer 11.8(Build 11080)
Log360 5.3(Build 5036)
第二个漏洞:DDI-VRT-2018-11
描述:允许无需身份验证的攻击者通过/ servlet / aam_servercmd执行隐蔽SQL注入,最终导致受害者失去对设备的完全控制权限。
受影响的应用程序/版本:
Applications Manager 13(Build 13420)
第三个漏洞:DDI-VRT-2018-12
描述:允许无需身份验证的攻击者通过/ servlet / SyncEventServlet执行隐蔽SQL注入,最终导致受害者失去对设备的完全控制权限。
受影响的应用程序/版本:
Applications Manager 13(Build 13420)
第四个漏洞:DDI-VRT-2018-13
描述:允许无需身份验证的攻击者通过/ servlet / FailOverHelperServlet窃取本地文件。
受影响的应用程序/版本:
Applications Manager 13(Build 13420)
第五个漏洞:DDI-VRT-2018-14
漏洞:允许无需身份验证的攻击者通过/ servlet / MenuHandlerServlet执行隐蔽SQL注入,最终导致受害者失去对设备的完全控制权限。
受影响的应用程序/版本:
Applications Manager 13(Build 13420)
第六个漏洞:DDI-VRT-2018-15
漏洞:允许无需身份验证的攻击者通过/ servlet / OPMRequestHandlerServlet 窃取API密钥。
受影响的应用程序/版本:
Applications Manager 13(Build 13420)
漏洞研究小组表示,他们已经将漏洞通报给了ManageEngine,而ManageEngine方面目前已为应用程序上确定的每以个漏洞提供了对应的安全补丁。同时,已修补的应用程序已经可以从ManageEngine的网站下载。