发布日期：2018-03-12
更新日期：2018-03-14

受影响系统：

zoho ManageEngine Applications Manager 13.5

描述：

---

BUGTRAQ  ID: 103358
CVE(CAN) ID: CVE-2018-7890

Zoho ManageEngine Applications Manager是应用性能监控及服务器性能监控器。

Zoho ManageEngine Applications Manager 13.5版本存在远程代码执行漏洞，可以公开访问的testCredential.do端点通过访问指定系统获取用户输入并验证提供的凭证，调用多个内部类，然后执行PowerShell脚本。若指定的系统是OfficeSharePointServer，则不会验证该脚本收到的用户名及密码参数，导致命令注入。

<*来源：Mehmet INCE
  *>

建议：

---

厂商补丁：

zoho
----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://pentest.blog/advisory-manageengine-applications-manager-remote-code-execution-sqli-and/
https://github.com/rapid7/metasploit-framework/pull/9684

浏览次数：1880
严重程度：0（网友投票）