ZOHO ManageEngine DataSecurity Plus DataEngine Xnode Server应用程序路径遍历漏洞 - 山西鑫鼎宸科技股份有限公司

0351- 6811769

鑫鼎宸科技

我的位置：

-

-

-

ZOHO ManageEngine DataSecurity Plus DataEngine Xnode Server应用程序路径遍历漏洞

CNNVD编号：CNNVD-202005-341
危害等级：高危
CVE编号：CVE-2020-11531
漏洞类型：路径遍历
威胁类型：远程
厂商：未知
漏洞来源：未知
发布时间：2020-05-08
更新时间：2020-12-11

漏洞简介

ZOHO ManageEngine DataSecurity Plus是美国卓豪（ZOHO）公司的一套敏感数据管理解决方案。该产品具有数据防泄漏、数据风险评估和文件服务器审核等功能。

Zoho ManageEngine DataSecurity Plus 6.0.1之前版本中的DataEngine Xnode Server应用程序存在安全漏洞，该漏洞源于程序在处理DR-SCHEMA-SYNC请求时没有验证数据库架构（schema）名称。攻击者可通过目录遍历将JSP文件写入webroot目录利用该漏洞在产品上下文中执行代码。

漏洞公示

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://pitstop.manageengine.com/portal/community/topic/upgrade-datasecurity-plus-to-the-build-6013-to-fix-security-issues

参考网站

来源:MISC

链接:https://packetstormsecurity.com/files/157604/ManageEngine-DataSecurity-Plus-Path-Traversal-Code-Execution.html

来源:CONFIRM

链接:https://pitstop.manageengine.com/portal/community/topic/upgrade-datasecurity-plus-to-the-build-6013-to-fix-security-issues

来源:MISC

链接:http://seclists.org/fulldisclosure/2020/May/27

来源:packetstormsecurity.com

链接:https://packetstormsecurity.com/files/157604/ManageEngine-DataSecurity-Plus-Path-Traversal-Code-Execution.html

来源:nvd.nist.gov

链接:https://nvd.nist.gov/vuln/detail/CVE-2020-11531

来源:cxsecurity.com

链接:https://cxsecurity.com/issue/WLB-2020050108

受影响实体

暂无

补丁

ZOHO ManageEngine DataSecurity Plus DataEngine Xnode Server应用程序路径遍历漏洞的修复措施

返回漏洞列表

关于我们

客户案例

漏洞预警

公司服务热线: 0351- 6811769

晋ICP备20001802号-1 晋公网安备 14011002000172号