EventLog Analyzer 安全漏洞

漏洞介绍

在Zoho ManageEngine Exchange Reporter Plus中发现以下问题：内部版本号5510之前，内部版本号4228之前的AD360，内部版本号5817之前的ADSelfService Plus，内部版本号6033之前的DataSecurity Plus，内部版本号6017之前的RecoverManager Plus，内部版本12136之前的EventLog Analyzer，ADAudit内部版本号为6052之前的Plus，内部版本号为4334之前的O365 Manager Plus，内部版本号为4110之前的Cloud Security Plus，内部版本号为7055之前的ADManager Plus和内部版本号为5166之前的Log360。远程访问Java servlet com.manageengine.ads.fw.servlet .UpdateProductDetails容易绕过身份验证。可以修改系统集成属性，并导致完全破坏ManageEngine套件。

漏洞补丁

目前厂商已发布升级了EventLog Analyzer 安全漏洞的补丁，EventLog Analyzer 安全漏洞的补丁获取链接：

https://www.manageengine.com/products/eventlog/features-new.html

参考网址

来源:MISC

链接：https://www.manageengine.com/products/eventlog/features-new.html

来源:MISC

链接：https://pitstop.manageengine.com/portal/en/kb/articles/manageengine-cloud-security-plus-security-advisory-regarding-unauthenticated-product-integration-vulnerability

来源:MISC

链接：https://pitstop.manageengine.com/portal/en/community/topic/how-to-identify-and-mitigate-the-unauthenticated-product-integration-vulnerability-15-5-2020-1

来源:MISC

链接：https://pitstop.manageengine.com/portal/en/community/topic/how-to-fix-the-unauthenticated-product-integration-vulnerability-18-5-2020

来源:MISC

链接：https://pitstop.manageengine.com/portal/en/community/topic/how-to-fix-the-unauthenticated-product-integration-vulnerability-17-5-2020

来源:MISC

链接：https://medium.com/@frycos/another-zoho-manageengine-story-7b472f1515f5

来源:MISC

链接：https://www.manageengine.com/data-security/release-notes.html

来源:MISC

链接：https://pitstop.manageengine.com/portal/en/community/topic/admanager-plus-fixes-and-enhancements

来源:MISC

链接：https://pitstop.manageengine.com/portal/en/community/topic/how-to-identify-and-mitigate-the-unauthenticated-product-integration-vulnerability-18-5-2020

来源:MISC

链接：https://pitstop.manageengine.com/portal/en/kb/articles/manageengine-log360-security-advisory-regarding-unauthenticated-product-integration-vulnerability

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202008-1448