• 我的位置:
  • 首頁
  • -
  • 漏洞預(yù)警
  • -
  • 其他
  • -
    • ZOHO ManageEngine Desktop Central身份驗(yàn)證繞過漏洞
    • CNNVD編號:未知
    • 危害等級: 超危 
    • CVE編號:CVE-2021-44757
    • 漏洞類型: 不需要用戶認(rèn)證
    • 威脅類型:遠(yuǎn)程
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2022-01-20
    • 更新時間:2022-01-20

    漏洞簡介

    ZOHO ManageEngine Desktop Central(DC)是美國卓豪(ZOHO)公司的一套桌面管理解決方案。該方案包含軟件分發(fā)、補(bǔ)丁管理、系統(tǒng)配置、遠(yuǎn)程控制等功能模塊,可對桌面機(jī)以及服務(wù)器管理的整個生命周期提供支持。

    2022年1月17日,深信服安全團(tuán)隊(duì)監(jiān)測到一則 ManageEngine Desktop Central 和ManageEngine Desktop Central MSP 組件存在身份驗(yàn)證繞過漏洞的信息,漏洞編號:CVE-2021-44757,漏洞威脅等級:嚴(yán)重。

    擊者可利用該漏洞在未授權(quán)的情況下,構(gòu)造惡意數(shù)據(jù)執(zhí)行身份驗(yàn)證繞過攻擊,最終造成服務(wù)器敏感性信息泄露等。

    漏洞公示

    暫無

    受影響實(shí)體

    可能受漏洞影響的 ManageEngine Desktop Central 資產(chǎn)廣泛分布于世界各地,主要分布在印度、美國、中國等國家。

    目前受影響的 ManageEngine Desktop Central 版本:

    ManageEngine Desktop Central<10.1.2137.9

    ManageEngine Desktop Central MSP<10.1.2137.9

    補(bǔ)丁

    1、如何檢測是否使用該組件

    Web 服務(wù)中出現(xiàn)如下頁面時即使用該組件。


    2、官方修復(fù)建議

    當(dāng)前官方已發(fā)布受影響版本的對應(yīng)補(bǔ)丁,建議受影響的用戶及時更新官方的安全補(bǔ)丁。鏈接如下:

    ManageEngine Desktop Central:

    https://www.manageengine.com/products/desktop-central/cve-2021-44757.html

    ManageEngine Desktop Central MSP:

    https://www.manageengine.com/desktop-management-msp/cve-2021-44757.html