多款ZOHO ManageEngine产品SQL注入漏洞 CVE-2014-7868 CNNVD-201412-078

7.5 AV AC AU C I A
发布: 2014-12-04
修订: 2019-07-15

ZOHO ManageEngine OpManager、IT360和Social IT Plus都是美国卓豪(ZOHO)公司的产品。ManageEngine OpManager是一套网络、服务器及虚拟化监控软件;ManageEngine IT360是一套IT运维综合治理平台;ManageEngine Social IT Plus是一套面向IT团队推出的社交网络协作平台。 多款ZOHO ManageEngine产品中存在SQL注入漏洞,该漏洞源于程序执行Delete操作时,APMBVHandler servlet没有充分过滤‘OPM_BVNAME’参数;程序执行compare操作时,DataComparisonServlet servlet没有充分过滤‘query’参数。远程攻击者可利用该漏洞执行任意SQL命令。以下产品和版本受到影响:ZOHO ManageEngine OpManager 11.3版本和11.4版本,IT360 10.3版本和10.4版本,Social IT Plus 11.0版本。

0%

漏洞利用/PoC

当前有3条漏洞利用/PoC

受影响的平台与产品

当前有5条受影响产品信息