阿里云漏洞库
高危漏洞
CVE 漏洞库
非CVE漏洞库
安全社区
搜索
NVD
应用程序
CVE-2014-6037
ManageEngine Eventlog Analyzer任意文件上传漏洞
CVE编号
CVE-2014-6037
利用情况
暂无
补丁情况
N/A
披露时间
2014-10-27
漏洞描述
ManageEngine EventLog Analyzer是IT合规性、事件日志管理软件。
ManageEngine EventLog Analyzer agentUpload实现存在文件上传漏洞,agentUpload服务程序接受未经认证的文件上传并未能正确处理zip文件内容。允许远程攻击者可利用此漏洞提交恶意文件并执行远程代码。
解决建议
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.manageengine.com/products/eventlog/
参考链接
http://osvdb.org/show/osvdb/110642
http://packetstormsecurity.com/files/128102/ManageEngine-EventLog-Analyzer-9....
http://seclists.org/fulldisclosure/2014/Aug/86
http://seclists.org/fulldisclosure/2014/Sep/1
http://seclists.org/fulldisclosure/2014/Sep/19
http://seclists.org/fulldisclosure/2014/Sep/20
http://www.exploit-db.com/exploits/34519
http://www.securityfocus.com/bid/69482
https://github.com/rapid7/metasploit-framework/pull/3732
https://www.mogwaisecurity.de/advisories/MSA-2014-01.txt
受影响软件情况
#
类型
厂商
产品
版本
影响面
1
运行在以下环境
应用
zohocorp
manageengine_eventlog_analyzer
8.2
-
运行在以下环境
应用
zohocorp
manageengine_eventlog_analyzer
9.0
-
CVSS3评分
7.5
攻击路径
网络
攻击复杂度
低
权限要求
无
影响范围
N/A
用户交互
无
可用性
部分地
保密性
部分地
完整性
部分地
CWE-ID
漏洞类型
CWE-22
对路径名的限制不恰当(路径遍历)
阿里云安全产品覆盖情况
云安全中心
WAF
云防火墙
RASP
Exp相关链接
×
https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/multi/http/eventlog_file_upload.rb
https://www.exploit-db.com/exploits/34519
https://www.exploit-db.com/exploits/34670