ZOHO ManageEngine DataSecurity Plus DataEngine Xnode Server應(yīng)用程序路徑遍歷漏洞
- CNNVD編號:CNNVD-202005-341
- 危害等級: 高危
- CVE編號:CVE-2020-11531
- 漏洞類型: 路徑遍歷
- 威脅類型:遠程
- 廠 商:未知
- 漏洞來源:未知
- 發(fā)布時間:2020-05-08
- 更新時間:2020-12-11
漏洞簡介
ZOHO ManageEngine DataSecurity Plus是美國卓豪(ZOHO)公司的一套敏感數(shù)據(jù)管理解決方案。該產(chǎn)品具有數(shù)據(jù)防泄漏、數(shù)據(jù)風(fēng)險評估和文件服務(wù)器審核等功能。
Zoho ManageEngine DataSecurity Plus 6.0.1之前版本中的DataEngine Xnode Server應(yīng)用程序存在安全漏洞,該漏洞源于程序在處理DR-SCHEMA-SYNC請求時沒有驗證數(shù)據(jù)庫架構(gòu)(schema)名稱。攻擊者可通過目錄遍歷將JSP文件寫入webroot目錄利用該漏洞在產(chǎn)品上下文中執(zhí)行代碼。
漏洞公示
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:
參考網(wǎng)站
來源:MISC
來源:CONFIRM
來源:MISC
鏈接:http://seclists.org/fulldisclosure/2020/May/27
來源:packetstormsecurity.com
來源:nvd.nist.gov
鏈接:https://nvd.nist.gov/vuln/detail/CVE-2020-11531
來源:cxsecurity.com
受影響實體
暫無