Zoho ManageEngine Event Log Analyzer 11.4/11.5 Log Parser Persistent 跨站脚本攻击

CVE编号

CVE-2017-11687

利用情况

暂无

补丁情况

N/A

披露时间

2017-07-27

漏洞描述

Zoho ManageEngine Event Log Analyzer是美国卓豪（Zoho）公司的一套系统、事件日志分析软件。
Zoho ManageEngine Event Log Analyzer 11.4版本和11.5版本中的Event日志解析函数和‘Display’函数中存在跨站脚本漏洞。远程攻击者可借助syslog利用该漏洞注入任意的Web脚本或HTML。

解决建议

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：
https://www.manageengine.com/products/eventlog/

参考链接
http://init6.me/exploiting-manageengine-eventlog-analyzer.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	zohocorp	manageengine_eventlog_analyzer	11.4	-
	运行在以下环境
	应用	zohocorp	manageengine_eventlog_analyzer	11.5	-

攻击路径网络
攻击复杂度低
权限要求无
影响范围已更改
用户交互需要
可用性无
保密性低
完整性低

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CWE-ID 漏洞类型 CWE-79 在Web页面生成时对输入的转义处理不恰当（跨站脚本）

正文

Zoho ManageEngine Event Log Analyzer 11.4/11.5 Log Parser Persistent 跨站脚本攻击

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM InfoSphere Master Data Management up to 11.4.0.4 GDS 跨站脚本攻击

IBM Tivoli Federated Identity Manager up to 6.2.2 FP15 跨站脚本攻击

PHP远程格式化字符串漏洞

IBM Spectrum Protect up to 5.5/6.3.2.4/6.4.3.0/7.1.2 CAD Client Crash 拒绝服务漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]