多款ZOHO产品安全漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1634931 漏洞类型 授权问题
发布时间 2019-06-18 更新时间 2019-06-21
CVE编号 CVE-2019-12133 CNNVD-ID CNNVD-201906-717
漏洞平台 N/A CVSS评分 N/A
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201906-717
|漏洞详情
ZOHO ManageEngine Desktop Central(DC)等都是美国卓豪(ZOHO)公司的产品。ManageEngine Desktop Central是一套桌面管理解决方案。ZOHO ManageEngine ServiceDesk Plus是一套基于ITIL架构的IT服务管理软件(ITSM)。ZOHO ManageEngine EventLog Analyzer是一套系统、事件日志分析软件。 多款ZOHO产品中存在授权问题漏洞,该漏洞源于程序为%SYSTEMDRIVE%ManageEngine目录及其子文件夹分配了不正确的权限。攻击者可利用该漏洞提升权限至NT AUTHORITYSYSTEM权限。以下产品及版本受到影响:ZOHO Desktop Central 10.0.380版本;EventLog Analyzer 12.0.2版本;ServiceDesk Plus 10.0.0版本;SupportCenter Plus 8.1版本;O365 Manager Plus 4.0版本;Mobile Device Manager Plus 9.0.0版本;Patch Connect Plus 9.0.0版本;Vulnerability Manager Plus 9.0.0版本;Patch Manager Plus 9.0.0版本;OpManager 12.3版本;NetFlow Analyzer 11.0版本;OpUtils 11.0版本;Network Configuration Manager 11.0版本;FireWall 12.0版本;Key Manager Plus 5.6版本;Password Manager Pro 9.9版本;Analytics Plus 1.0版本;Browser Security Plus。
|参考资料

来源:www.manageengine.com

链接:https://www.manageengine.com/products/desktop-central/elevation-of-privilege-vulnerability.html


来源:github.com

链接:https://github.com/active-labs/Advisories/blob/master/ACTIVE-2019-007.md


来源:nvd.nist.gov

链接:https://nvd.nist.gov/vuln/detail/CVE-2019-12133