ZOHO ManageEngine DataSecurity Plus DataEngine Xnode Server应用程序路径遍历漏洞

CNNVD-ID编号	CNNVD-202005-341	CVE编号	CVE-2020-11531
发布时间	2020-05-08	更新时间	2020-09-08
漏洞类型	路径遍历	漏洞来源	Sahil Dhar, xen1thLabs
危险等级	高危	威胁类型	远程
厂商	N/A

漏洞介绍

ZOHO ManageEngine DataSecurity Plus是美国卓豪（ZOHO）公司的一套敏感数据管理解决方案。该产品具有数据防泄漏、数据风险评估和文件服务器审核等功能。

Zoho ManageEngine DataSecurity Plus 6.0.1之前版本中的DataEngine Xnode Server应用程序存在安全漏洞，该漏洞源于程序在处理DR-SCHEMA-SYNC请求时没有验证数据库架构（schema）名称。攻击者可通过目录遍历将JSP文件写入webroot目录利用该漏洞在产品上下文中执行代码。

漏洞补丁

目前厂商已发布升级了ZOHO ManageEngine DataSecurity Plus DataEngine Xnode Server应用程序路径遍历漏洞的补丁，ZOHO ManageEngine DataSecurity Plus DataEngine Xnode Server应用程序路径遍历漏洞的补丁获取链接：

https://pitstop.manageengine.com/portal/community/topic/upgrade-datasecurity-plus-to-the-build-6013-to-fix-security-issues

参考网址

来源:MISC

链接：https://packetstormsecurity.com/files/157604/ManageEngine-DataSecurity-Plus-Path-Traversal-Code-Execution.html
来源:CONFIRM

链接：https://pitstop.manageengine.com/portal/community/topic/upgrade-datasecurity-plus-to-the-build-6013-to-fix-security-issues
来源:MISC

链接：http://seclists.org/fulldisclosure/2020/May/27
来源:packetstormsecurity.com

链接：https://packetstormsecurity.com/files/157604/ManageEngine-DataSecurity-Plus-Path-Traversal-Code-Execution.html
来源:nvd.nist.gov

链接：https://nvd.nist.gov/vuln/detail/CVE-2020-11531
来源:cxsecurity.com

链接：https://cxsecurity.com/issue/WLB-2020050108

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202005-341

ZOHO ManageEngine DataSecurity Plus DataEngine Xnode Server应用程序路径遍历漏洞

漏洞介绍

漏洞补丁

参考网址

受影响实体

信息来源

查询漏洞

相关漏洞

支持服务

云学院

合作与生态

ZOHO ManageEngine DataSecurity Plus DataEngine Xnode Server应用程序路径遍历漏洞

漏洞介绍

漏洞补丁

参考网址

受影响实体

信息来源

查询漏洞

相关漏洞