ManageEngine ADSelfService Plus信息泄露漏洞
CVE编号
CVE-2010-3272利用情况
暂无补丁情况
N/A披露时间
2011-02-18漏洞描述
ManageEngine ADSelfService Plus是一个安全的,基于Web的最终用户自助服务密码重置方案。ManageEngine ADSelfService Plus存在安全漏洞,在注册期间程序会让用户设置一系列安全问题进行回答以方便之后能恢复丢失的密码。在恢复请求和用户ID发送之后,系统会要求用户回答一系列安全问题,这些回答会使用POST请求发送:POST /accounts/ValidateAnswers?methodToCall=validateAll HTTP/1.1Host: SERVERUser-Agent: Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.2.13) Gecko/20101206 Ubuntu/10.10 (maverick) Firefox/3.6.13Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-us,en;q=0.5Accept-Encoding: gzip,deflateAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7Keep-Alive: 115Proxy-Connection: keep-aliveReferer: http://SERVER/accounts/ValidateUserCookie: JSESSIONID=8F93EB242EF06C51BE93EB0CEDA69085Content-Type: application/x-www-form-urlencodedContent-Length: 294loginId=1501&Hide_Captcha=0&POLICY_ID=1&Confirm_Answer=1&SESSION_EXPIRY_TIME=5&LOGIN_NAME=alice&REM_SESSION_TIME=00%3A40&bAns=11111&bQues=PreDefined-2&bAns=22222&bQues=PreDefined-3&bAns=33333&bQues=PreDefined-4&bAns=44444&bQues=PreDefined-5&quesList=4&DIGEST=qodpgd&next=Continue&DIS_ALL_QUES=1从上面的HTTP POST请求可以看出,客户端可以有能力决定:-通过修改"Hide_Captcha"字段来决定他是否愿意完成验证码。-修改"quesList"参数可决定他愿意回答多少问题。因此,攻击者可以选择回答一个安全问题,而且验证码可以绕过表示此过程可自动化。允许攻击者绕过安全限制,执行任意脚本代码,泄漏敏感信息。解决建议
ZOHO Corporation ManageEngine ADSelfService Plus 4.5 Build 4500已经修复此漏洞,建议用户下载使用:http://www.manageengine.com/products/self-service-password/index.html受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | zohocorp | manageengine_adselfservice_plus | * | Up to (including) 4.4 | |||||
- 攻击路径 网络
- 攻击复杂度 N/A
- 权限要求 无
- 影响范围 N/A
- 用户交互 无
- 可用性 无
- 保密性 无
- 完整性 部分地
| CWE-ID | 漏洞类型 |
| CWE-20 | 输入验证不恰当 |
Exp相关链接
- avd.aliyun.com
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论