天创培训:您身边的信息安全培训专家!
行业动态
IT管理软件 ManageEngine曝多个漏洞 60%的世界500强企业受影响

IT管理软件 ManageEngine曝多个漏洞 60%的世界500强企业受影响

网络安全公司Digital Defense在本周二公布了由该公司漏洞研究小组(VRT)在ManageEngine产品中发现的6个安全漏洞,CISSP培训涉及的产品包括:Logs360,EventLog Analyzer和Applications Manager。

ManageEngine产品系列专注于企业内的IT管理。据该公司称,从世界500强到中小企业,在全球200多个国家和地区,有超过12万家企业正在借助ManageEngine工具管理网络基础设施、数据中心、业务系统、IT服务及安全。值得提出的是,在每五家世界500强企业中就有三家使用ManageEngine提供的技术支持。

通常来讲,企业级软件中的漏洞可能会带来灾难性后果,CISSP培训尤其是当它们被通用漏洞评分系统(CVSS)评定为“关键(critical)”的时候。

下面让我们来看看这6个漏洞的具体细节:

第一个漏洞:DDI-VRT-2018-10

描述:允许无需身份验证的攻击者通过/agentUpload上传任意文件,最终导致远程代码执行

受影响的应用程序/版本:

EventLog Analyzer 11.8(Build 11080)

Log360 5.3(Build 5036)

第二个漏洞:DDI-VRT-2018-11

描述:允许无需身份验证的攻击者通过/ servlet / aam_servercmd执行隐蔽SQL注入,最终导致受害者失去对设备的完全控制权限。

受影响的应用程序/版本

Applications Manager 13(Build 13420)

第三个漏洞:DDI-VRT-2018-12

描述:允许无需身份验证的攻击者通过/ servlet / SyncEventServlet执行隐蔽SQL注入,最终导致受害者失去对设备的完全控制权限。

受影响的应用程序/版本:

Applications Manager 13(Build 13420)

第四个漏洞:DDI-VRT-2018-13

描述:允许无需身份验证的攻击者通过/ servlet / FailOverHelperServlet窃取本地文件。

受影响的应用程序/版本:

Applications Manager 13(Build 13420)

第五个漏洞:DDI-VRT-2018-14

漏洞:允许无需身份验证的攻击者通过/ servlet / MenuHandlerServlet执行隐蔽SQL注入,最终导致受害者失去对设备的完全控制权限。

受影响的应用程序/版本:

Applications Manager 13(Build 13420)

第六个漏洞:DDI-VRT-2018-15

漏洞:允许无需身份验证的攻击者通过/ servlet / OPMRequestHandlerServlet 窃取API密钥。

受影响的应用程序/版本:

Applications Manager 13(Build 13420)

漏洞研究小组表示,他们已经将漏洞通报给了ManageEngine,而ManageEngine方面目前已为应用程序上确定的每以个漏洞提供了对应的安全补丁。同时,已修补的应用程序已经可以从ManageEngine的网站下载。