发布时间:2021-08-20 19:41:11,来源:北京奇虎科技有限公司
近日,ZOHO已发布安全公告,修复了ManageEngine ServiceDesk Plus存在跨站脚本和远程命令执行漏洞,相关漏洞编号:CVE-2021-20080,CVE-2021-20081。攻击者可利用该漏洞通过上传恶意资产文件到帮助台,实现以SYSTEM权限执行任意命令。目前,有关ManageEngine ServiceDesk Plus中的一个“从存储型跨站脚本到远程代码执行”的漏洞利用链的技术细节已在互联网上公开。建议受影响用户及时升级安全版本进行防护,并做好资产自查以及预防工作,以免遭受黑客攻击。
高危
ZOHO ManageEngine ServiceDesk Plus(SDP)是美国卓豪(ZOHO)公司的一套基于ITIL架构的IT服务管理软件。该软件集成了事件管理、问题管理、资产管理IT项目管理、采购与合同管理等功能模块。
1. CVE-2021-20080:存储型跨站脚本漏洞
该漏洞源于输出过滤不严,未经身份认证的远程攻击者可通过上传特制的XML资产文件进行持久型跨站脚本(XSS)攻击。
2. CVE-2021-20081:输入验证不当漏洞
该漏洞源于输入验证不当,经过身份验证的远程攻击者可利用该漏洞以SYSTEM权限执行任意命令。
1. CVE-2021-20080
ManageEngine ServiceDesk Plus < 11200
ManageEngine AssetExplorer < 6800
2. CVE-2021-20081
ManageEngine ServiceDesk Plus < 11205
目前厂商已发布补丁修复漏洞,建议受影响用户及时更新升级至以下安全版本:
1. CVE-2021-20080
ManageEngine ServiceDesk Plus 11200
ManageEngine AssetExplorer 6800
2. CVE-2021-20081
ManageEngine ServiceDesk Plus 11205
https://www.manageengine.com/products/service-desk/on-premises/readme.html#readme112
https://www.tenable.com/security/research/tra-2021-11
https://www.tenable.com/security/research/tra-2021-22