ManageEngine EventLog Analyzer存在多个漏洞(CNVD-2014-05452)
CVE编号
N/A利用情况
暂无补丁情况
N/A披露时间
2014-09-05漏洞描述
ManageEngine EventLog Analyzer是一个基于web的事件日志管理解决方案,它能收集、分析和汇报整个企业范围内的Windows和UNIX系统上的事件日志。ManageEngine EventLog Analyzer存在任意文件上传和未授权访问漏洞。ManageEngine EventLog Analyzer包含的"agentUpload" servlet用于把日志数据以ZIP文件发送到集中服务器,未能正确处理ZIP文件名,文件上传时未能验证。允许攻击者利用漏洞上传文件至其他路径并以WEB权限执行。解决建议
目前没有详细解决方案提供:http://www.manageengine.com/products/eventlog/
参考链接 |
|
|---|---|
| https://www.cnvd.org.cn/flaw/show/CNVD-2014-05452 |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 N/A
- 用户交互 N/A
- 可用性 部分地
- 保密性 部分地
- 完整性 部分地
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论