CH azonosító
CH-6565Angol cím
ManageEngine DeviceExpert ScheduleResultViewer Servlet Two VulnerabilitiesFelfedezés dátuma
2012.03.19.Súlyosság
AlacsonyÖsszefoglaló
A ManageEngine DeviceExpert olyan sérülékenységei váltak ismertté, amelyeket a támadók kihasználhatnak bizalmas információk felfedésére.
Leírás
- A ScheduleResultViewer servletben a hiányzó hitelesítés ellenőrzés következtében fellépő hiba, amikor a “FileName” paraméter webes kéréseinek feldolgozása történik, kihasználható a hitelesítés konfigurációs fájl (auth-conf.xml) felfedésére.
- A ScheduleResultViewer servletben található bemeneti adat érvényesítési hiba, amikor a “FileName” paraméter webes kéréseinek feldolgozása történik, könyvtárbejárásos (directory traversal) támadásokkal kihasználható tetszőleges fájlok letöltésére.
A sérülékenységeket az 5.6.5 Build 5650 verziókban ismerték fel, de más verziók is érintettek lehetnek.
Megoldás
Korlátozza a hozzáférést a megbízható hostokra.
Támadás típusa
Authentication Issues (Hitelesítés)Input manipulation (Bemenet módosítás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
SECUNIA 48456
Egyéb referencia: retrogod.altervista.org