当前位置:首页 > 漏洞预警 > 正文

ZOHO ManageEngine ServiceDesk Plus跨站脚本和远程命令执行漏洞预警

发布时间:2021-08-20 19:41:11,来源:北京奇虎科技有限公司

      一、 基本情况

近日,ZOHO已发布安全公告,修复了ManageEngine ServiceDesk Plus存在跨站脚本和远程命令执行漏洞,相关漏洞编号:CVE-2021-20080,CVE-2021-20081。攻击者可利用该漏洞通过上传恶意资产文件到帮助台,实现以SYSTEM权限执行任意命令。目前,有关ManageEngine ServiceDesk Plus中的一个“从存储型跨站脚本到远程代码执行”的漏洞利用链的技术细节已在互联网上公开。建议受影响用户及时升级安全版本进行防护,并做好资产自查以及预防工作,以免遭受黑客攻击。

      二、 漏洞等级

高危

      三、 漏洞描述

ZOHO ManageEngine ServiceDesk Plus(SDP)是美国卓豪(ZOHO)公司的一套基于ITIL架构的IT服务管理软件。该软件集成了事件管理、问题管理、资产管理IT项目管理、采购与合同管理等功能模块。

1. CVE-2021-20080存储型跨站脚本漏洞

该漏洞源于输出过滤不严,未经身份认证的远程攻击者可通过上传特制的XML资产文件进行持久型跨站脚本(XSS)攻击。

2. CVE-2021-20081输入验证不当漏洞

该漏洞源于输入验证不当,经过身份验证的远程攻击者可利用该漏洞以SYSTEM权限执行任意命令。

      四、 影响范围

1. CVE-2021-20080

ManageEngine ServiceDesk Plus < 11200

ManageEngine AssetExplorer < 6800

2. CVE-2021-20081

ManageEngine ServiceDesk Plus < 11205

      五、 安全建议

目前厂商已发布补丁修复漏洞,建议受影响用户及时更新升级至以下安全版本:

1. CVE-2021-20080

ManageEngine ServiceDesk Plus 11200

ManageEngine AssetExplorer 6800

2. CVE-2021-20081

ManageEngine ServiceDesk Plus 11205

六、 参考链接

https://www.manageengine.com/products/service-desk/on-premises/readme.html#readme112

https://www.tenable.com/security/research/tra-2021-11

https://www.tenable.com/security/research/tra-2021-22