网络安全公司Digital Defense在本周二公布了由该公司漏洞研究小组（VRT）在ManageEngine产品中发现的6个安全漏洞，CISSP培训涉及的产品包括：Logs360，EventLog Analyzer和Applications Manager。

ManageEngine产品系列专注于企业内的IT管理。据该公司称，从世界500强到中小企业，在全球200多个国家和地区，有超过12万家企业正在借助ManageEngine工具管理网络基础设施、数据中心、业务系统、IT服务及安全。值得提出的是，在每五家世界500强企业中就有三家使用ManageEngine提供的技术支持。

通常来讲，企业级软件中的漏洞可能会带来灾难性后果，CISSP培训尤其是当它们被通用漏洞评分系统（CVSS）评定为“关键（critical）”的时候。

下面让我们来看看这6个漏洞的具体细节：

第一个漏洞：DDI-VRT-2018-10

描述：允许无需身份验证的攻击者通过/agentUpload上传任意文件，最终导致远程代码执行

受影响的应用程序/版本：

EventLog Analyzer 11.8（Build 11080）

Log360 5.3（Build 5036）

第二个漏洞：DDI-VRT-2018-11

描述：允许无需身份验证的攻击者通过/ servlet / aam_servercmd执行隐蔽SQL注入，最终导致受害者失去对设备的完全控制权限。

受影响的应用程序/版本：

Applications Manager 13（Build 13420）

第三个漏洞：DDI-VRT-2018-12

描述：允许无需身份验证的攻击者通过/ servlet / SyncEventServlet执行隐蔽SQL注入，最终导致受害者失去对设备的完全控制权限。

受影响的应用程序/版本：

Applications Manager 13（Build 13420）

第四个漏洞：DDI-VRT-2018-13

描述：允许无需身份验证的攻击者通过/ servlet / FailOverHelperServlet窃取本地文件。

受影响的应用程序/版本：

Applications Manager 13（Build 13420）

第五个漏洞：DDI-VRT-2018-14

漏洞：允许无需身份验证的攻击者通过/ servlet / MenuHandlerServlet执行隐蔽SQL注入，最终导致受害者失去对设备的完全控制权限。

受影响的应用程序/版本：

Applications Manager 13（Build 13420）

第六个漏洞：DDI-VRT-2018-15

漏洞：允许无需身份验证的攻击者通过/ servlet / OPMRequestHandlerServlet 窃取API密钥。

受影响的应用程序/版本：

Applications Manager 13（Build 13420）

漏洞研究小组表示，他们已经将漏洞通报给了ManageEngine，而ManageEngine方面目前已为应用程序上确定的每以个漏洞提供了对应的安全补丁。同时，已修补的应用程序已经可以从ManageEngine的网站下载。