ZOHO ManageEngine ServiceDesk Plus跨站腳本和遠程命令執行漏洞預警
一、漏洞情況
近日,ZOHO已發布安全公告,修復了ManageEngine ServiceDesk Plus存在跨站腳本和遠程命令執行漏洞,相關漏洞編號:CVE-2021-20080,CVE-2021-20081。攻擊者可利用該漏洞通過上傳惡意資產文件到幫助臺,實現以SYSTEM權限執行任意命令。目前,有關ManageEngine ServiceDesk Plus中的一個“從存儲型跨站腳本到遠程代碼執行”的漏洞利用鏈的技術細節已在互聯網上公開。建議受影響用戶及時升級安全版本進行防護,并做好資產自查以及預防工作,以免遭受黑客攻擊。
二、漏洞等級
高危
三、漏洞描述
ZOHO ManageEngine ServiceDesk Plus(SDP)是美國卓豪(ZOHO)公司的一套基于ITIL架構的IT服務管理軟件。該軟件集成了事件管理、問題管理、資產管理IT項目管理、采購與合同管理等功能模塊。
1. CVE-2021-20080:存儲型跨站腳本漏洞
該漏洞源于輸出過濾不嚴,未經身份認證的遠程攻擊者可通過上傳特制的XML資產文件進行持久型跨站腳本(XSS)攻擊。
2. CVE-2021-20081:輸入驗證不當漏洞
該漏洞源于輸入驗證不當,經過身份驗證的遠程攻擊者可利用該漏洞以SYSTEM權限執行任意命令。
四、影響范圍
1. CVE-2021-20080
ManageEngine ServiceDesk Plus < 11200
ManageEngine AssetExplorer < 6800
2. CVE-2021-20081
ManageEngine ServiceDesk Plus < 11205
五、安全建議
目前廠商已發布補丁修復漏洞,建議受影響用戶及時更新升級至以下安全版本:
1. CVE-2021-20080
ManageEngine ServiceDesk Plus 11200
ManageEngine AssetExplorer 6800
2. CVE-2021-20081
ManageEngine ServiceDesk Plus 11205
六、參考鏈接
- https://www.manageengine.com/products/service-desk/on-premises/readme.html#readme112
- https://www.tenable.com/security/research/tra-2021-11
- https://www.tenable.com/security/research/tra-2021-22
