Af Torben B. Sørensen, 22/03/18
Udviklerne af ManageEngine har fjernet seks sårbarheder fra system management-produktet.
Sikkerhedsforskere fra firmaet Digital Defense har opdaget seks hidtil ukendte sårbarheder i ManageEngine. Det er et sæt værktøjer til system management, som især anvendes i større it-installationer.
Nogle af sårbarhederne lader en angriber uploade filer og afvikle skadelig programkode. Andre giver mulighed for SQL-indsætning eller adgang til API-nøgler.
Sårbarhederne er:
- Unauthenticated File Upload Remote Code Execution via /agentUpload
- Unauthenticated Blind SQL Injection via /servlet/aam_servercmd
- Multiple Unauthenticated Blind SQL Injections via /servlet/SyncEventServlet
- Unauthenticated Local File Inclusion via /servlet/FailOverHelperServlet
- Unauthenticated Blind SQL Injection via /servlet/MenuHandlerServlet
- Unauthenticated API Key Disclosure via /servlet/OPMRequestHandlerServlet
ManageEngine har lukket hullerne med sikkerhedsrettelser.
Anbefaling
Test og installer sikkerhedsrettelserne.