Zoho ManageEngine Desktop Central prior 9.0 Password Manager sv SQL注入

CVE编号

CVE-2014-3996

利用情况

暂无

补丁情况

N/A

披露时间

2014-12-06
漏洞描述
Password Manager Pro是一个企业级密码管理解决方案。IT360是来自卓豪ManageEngine的IT运维综合管理平台,可以对网络、系统、应用、IT服务进行集中的监控管理,保证IT有效服务企业业务。

多个ManageEngine Products存在SQL注入漏洞,该漏洞源于程序未能充分过滤用户提供的输入。允许攻击者利用漏洞访问或修改数据库数据。
解决建议
目前没有详细的解决方案提供:
http://www.manageengine.com/products/passwordmanagerpro/
参考链接
http://packetstormsecurity.com/files/127973/ManageEngine-Password-Manager-Met...
http://seclists.org/fulldisclosure/2014/Aug/55
http://seclists.org/fulldisclosure/2014/Aug/85
http://www.securityfocus.com/bid/69305
https://raw.githubusercontent.com/pedrib/PoC/master/ManageEngine/me_dc_pmp_it...
https://raw.githubusercontent.com/pedrib/PoC/master/msf_modules/manageengine_...
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 manageengine desktop_central * Up to
(including)
9.0
运行在以下环境
应用 manageengine it360 * Up to
(including)
10.3.3
运行在以下环境
应用 manageengine password_manager_pro * Up to
(including)
7.0
CVSS3评分
7.5
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    N/A
  • 用户交互
  • 可用性
    部分地
  • 保密性
    部分地
  • 完整性
    部分地
AV:N/AC:L/Au:N/C:P/I:P/A:P
CWE-ID 漏洞类型
CWE-89 SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
阿里云安全产品覆盖情况