• 我的位置:
  • 首頁(yè)
  • -
  • 漏洞預(yù)警
  • -
  • 其他
  • -
    • ManageEngine ServiceDesk Plus 多個(gè)漏洞通告
    • CNNVD編號(hào):未知
    • 危害等級(jí): 中危 
    • CVE編號(hào):CVE-2021-20080/CVE-2021-20081
    • 漏洞類(lèi)型: 未知
    • 威脅類(lèi)型:未知
    • 廠       商:未知
    • 漏洞來(lái)源:深信服
    • 發(fā)布時(shí)間:2021-08-23
    • 更新時(shí)間:2021-08-23

    漏洞簡(jiǎn)介

    1、組件介紹

    ZOHO ManageEngine ServiceDesk Plus (SDP)是一款基于Web的IT幫助臺(tái)軟件,基于ITIL框架集成了資產(chǎn)和項(xiàng)目管理功能。

    2、漏洞簡(jiǎn)介

    2021年8月19日,深信服安全團(tuán)隊(duì)監(jiān)測(cè)到一則ZOHO ManageEngine ServiceDesk Plus官方發(fā)布安全更新的通告,共修復(fù)了2個(gè)中危安全漏洞。

    序號(hào)

    漏洞名

    漏洞編號(hào)

    影響版本

    嚴(yán)重

    等級(jí)

    1

    ManageEngine ServiceDesk Plus XSS漏洞

    CVE-2021-20080

    ManageEngine ServiceDesk Plus < 11200

    ManageEngine AssetExplorer < 6800

    中危

    2

    ManageEngine ServiceDesk Plus 遠(yuǎn)程代碼執(zhí)行漏洞

    CVE-2021-20081

    ManageEngine 

    ServiceDesk Plus < 11205

    中危

    3、漏洞描述

    漏洞1:ManageEngine ServiceDesk Plus XSS漏洞 CVE-2021-20080

    該漏洞輸出過(guò)濾不嚴(yán)格,攻擊者可利用該漏洞在未授權(quán)限的情況下,構(gòu)造惡意數(shù)據(jù)執(zhí)行存儲(chǔ)型跨站點(diǎn)腳本攻擊,最終可造成服務(wù)器敏感性信息泄露。


    漏洞2:ManageEngine ServiceDesk Plus 遠(yuǎn)程代碼執(zhí)行漏洞 CVE-2021-20081

    該漏洞輸入?yún)?shù)沒(méi)有嚴(yán)格限制,攻擊者可利用該漏洞在獲得權(quán)限的情況下,構(gòu)造惡意數(shù)據(jù)執(zhí)行遠(yuǎn)程代碼執(zhí)行攻擊,最終可獲取服務(wù)器最高權(quán)限。

    漏洞公示

    暫無(wú)

    參考網(wǎng)站

    暫無(wú)

    受影響實(shí)體

    可能受漏洞影響的資產(chǎn)廣泛分布于世界各地,主要集中在南非、美國(guó)、智利、中國(guó)等國(guó)家。國(guó)內(nèi)主要分布在廣東、上海、湖北等省市。

    目前受影響的ManageEngine版本:

    CVE-2021-20080:

    ManageEngine ServiceDesk Plus < 11200

    ManageEngine AssetExplorer < 6800

    CVE-2021-20081:

    ManageEngine ServiceDesk Plus < 11205

    補(bǔ)丁

    1、官方修復(fù)建議

    當(dāng)前官方已發(fā)布最新版本,建議受影響的用戶及時(shí)更新升級(jí)到最新版本。鏈接如下:

    https://www.manageengine.com/products/service-desk/on-premises/readme.html#11205

    2、深信服解決方案

    深信服下一代防火墻AF】預(yù)計(jì)2021年8月24日,可防御CVE-2021-20080、CVE-2021-20081, 建議用戶將深信服下一代防火墻開(kāi)啟 IPS 防護(hù)策略,并更新最新安全防護(hù)規(guī)則,即可輕松抵御此高危風(fēng)險(xiǎn)。

    深信服安全感知平臺(tái)SIP】預(yù)計(jì)2021年8月24日,結(jié)合云端實(shí)時(shí)熱點(diǎn)高危/緊急漏洞信息,可快速檢出業(yè)務(wù)場(chǎng)景下的CVE-2021-20080、CVE-2021-20081,并可聯(lián)動(dòng)【深信服下一代防火墻AF】等產(chǎn)品實(shí)現(xiàn)對(duì)攻擊者IP的封堵。