• 我的位置:
  • 首頁
  • -
  • 漏洞預(yù)警
  • -
  • 應(yīng)用
  • -
  • ZOHO ManageEngine DataSecurity Plus DataEngine Xnode Server應(yīng)用程序路徑遍歷漏洞
    • CNNVD編號:CNNVD-202005-341
    • 危害等級: 高危 
    • CVE編號:CVE-2020-11531
    • 漏洞類型: 路徑遍歷
    • 威脅類型:遠程
    • 廠       商:未知
    • 漏洞來源:未知
    • 發(fā)布時間:2020-05-08
    • 更新時間:2020-12-11

    漏洞簡介

    ZOHO ManageEngine DataSecurity Plus是美國卓豪(ZOHO)公司的一套敏感數(shù)據(jù)管理解決方案。該產(chǎn)品具有數(shù)據(jù)防泄漏、數(shù)據(jù)風(fēng)險評估和文件服務(wù)器審核等功能。

    Zoho ManageEngine DataSecurity Plus 6.0.1之前版本中的DataEngine Xnode Server應(yīng)用程序存在安全漏洞,該漏洞源于程序在處理DR-SCHEMA-SYNC請求時沒有驗證數(shù)據(jù)庫架構(gòu)(schema)名稱。攻擊者可通過目錄遍歷將JSP文件寫入webroot目錄利用該漏洞在產(chǎn)品上下文中執(zhí)行代碼。

    漏洞公示

    目前廠商已發(fā)布升級補丁以修復(fù)漏洞,補丁獲取鏈接:

    https://pitstop.manageengine.com/portal/community/topic/upgrade-datasecurity-plus-to-the-build-6013-to-fix-security-issues

    受影響實體

    暫無