CVE编号
CVE-2019-12133利用情况
暂无补丁情况
N/A披露时间
2019-06-19漏洞描述
ZOHO ManageEngine Desktop Central(DC)等都是美国卓豪(ZOHO)公司的产品。ManageEngine Desktop Central是一套桌面管理解决方案。ZOHO ManageEngine ServiceDesk Plus是一套基于ITIL架构的IT服务管理软件(ITSM)。ZOHO ManageEngine EventLog Analyzer是一套系统、事件日志分析软件。 多款ZOHO产品中存在授权问题漏洞,该漏洞源于程序为\\%SYSTEMDRIVE\\%ManageEngine目录及其子文件夹分配了不正确的权限。攻击者可利用该漏洞提升权限至NT AUTHORITYSYSTEM权限。以下产品及版本受到影响:ZOHO Desktop Central 10.0.380版本;EventLog Analyzer 12.0.2版本;ServiceDesk Plus 10.0.0版本;SupportCenter Plus 8.1版本;O365 Manager Plus 4.0版本;Mobile Device Manager Plus 9.0.0版本;Patch Connect Plus 9.0.0版本;Vulnerability Manager Plus 9.0.0版本;Patch Manager Plus 9.0.0版本;OpManager 12.3版本;NetFlow Analyzer 11.0版本;OpUtils 11.0版本;Network Configuration Manager 11.0版本;FireWall 12.0版本;Key Manager Plus 5.6版本;Password Manager Pro 9.9版本;Analytics Plus 1.0版本;Browser Security Plus。解决建议
厂商已发布了漏洞修复程序,请及时关注更新:https://www.manageengine.com/products/desktop-central/elevation-of-privilege-vulnerability.html
参考链接 |
|
|---|---|
| https://github.com/active-labs/Advisories/blob/master/2019/ACTIVE-2019-007.md | |
| https://www.manageengine.com/products/desktop-central/elevation-of-privilege-... |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | zohocorp | manageengine_analytics_plus | 1.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | zohocorp | manageengine_browser_security_plus | - | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | zohocorp | manageengine_desktop_central | 10.0.380 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | zohocorp | manageengine_eventlog_analyzer | 12.0.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | zohocorp | manageengine_firewall | 12.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | zohocorp | manageengine_key_manager_plus | 5.6 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | zohocorp | manageengine_mobile_device_manager_plus | 9.0.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | zohocorp | manageengine_netflow_analyzer | 11.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | zohocorp | manageengine_network_configuration_manager | 11.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | zohocorp | manageengine_o365_manager_plus | 4.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | zohocorp | manageengine_opmanager | 12.3 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | zohocorp | manageengine_oputils | 11.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | zohocorp | manageengine_password_manager_pro | 9.9 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | zohocorp | manageengine_patch_connect_plus | 9.0.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | zohocorp | manageengine_patch_manager_plus | 9.0.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | zohocorp | manageengine_servicedesk_plus | 10.0.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | zohocorp | manageengine_supportcenter_plus | 8.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | zohocorp | manageengine_vulnerability_manager_plus | 9.0.0 | - | |||||
- 攻击路径 本地
- 攻击复杂度 低
- 权限要求 低
- 影响范围 未更改
- 用户交互 无
- 可用性 高
- 保密性 高
- 完整性 高
还没有评论,来说两句吧...