新闻快讯
< >

ManageEngine企业级IT运维管理产品曝多个严重漏洞

E安全2月2日讯 网络安全公司Digital Defense的研究人员发现 ManageEngine 的企业级 IT 运维管理产品存在多个严重的漏洞,包括未经身份验证的文件上传漏洞、盲目的SQL注入漏洞、远程代码执行漏洞和用户枚举漏洞。ManageEngine已在其官网发布漏洞补丁。

哪些应用程序受影响?

Zoho(卓豪)旗下ManageEngine主要提供网络、数据中心、各类安全设备以及安全解决方案,全球范围内拥有数万客户,其中包括财富500强公司。

ManageEngine产品被曝多个漏洞-E安全

受这些漏洞影响的应用程序包括:

  • ServiceDesk Plus;

  • Service Plus MSP;

  • OpManager网络监控产品;

  • Network Configuration Manager;

  • IP地址管理应用程序OpUtils;

  • 带宽监控和流量分析产品NetFlow Analyzer;

  • 防火墙配置和日志管理产品Firewall Analyzer。

未经身份验证的文件上传漏洞影响了ManageEnegine ServiceDesk Plus帮助台软件,未经身份验证的攻击者可利用该漏洞上传JavaScript Web Shell,借助SYSTEM权限执行任意命令。受影响的应用程序为:ServiceDesk Plus MSP 9.3(Build 9302)和ServiceDesk Plus 9.3 (Build 9328)。

受SQL注入漏洞影响的应用

SQL注入漏洞允许未经身份验证的攻击者完全控制应用程序,甚至控制底层主机,受影响的应用程序为:

  • OpManager 12.3 (Build 123002)

  • Firewall Analyzer 12.3 (Build 12.3.008)

  • Network Configuration Manager 12.3 (Build 12.3.008)

  • OpUtils 12.3 (Build 12.3.005)

  • NetFlow Analyzer 12.3 (Build 12.3.009)

这些应用程序还受到枚举漏洞影响,其允许攻击者访问用户信息,例如用户名、电子邮箱和电话号码;受未经身份验证的XML外部实体(XXE)注入漏洞影响,允许攻击者访问运行ManageEngine应用程序的主机上的文件内容。

Digital Defense公司表示,ManageEngine迅速响应了漏洞报告,并发布了更新修复漏洞,应用程序层面的漏洞仍是安全厂商关注的重点。

用户可通过ManageEngine官网下载已打补丁的应用程序。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。