检测

ManageEngine ADManager Plus < Build 7183 XXE

medium Nessus 插件 ID 178032

语言:

简介

远程主机上运行的 Active Directory 管理应用程序受到经验证的 XML 外部实体注入漏洞影响。

描述

Zoho ManageEngine ADManager Plus 低于 7.1 Build 7183 的版本允许经身份验证的管理员执行 XML 外部实体注入 (XXE) 攻击并查看服务器中的文件。

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级到 ManageEngine ADManager Plus version 7.1 build 7183 或更高版本。

另见

http://www.nessus.org/u?db0c288a

http://www.nessus.org/u?c28db32b

插件详情

严重性: Medium

ID: 178032

文件名: manageengine_admanager_plus_7183.nasl

版本: 1.3

类型: remote

系列: CGI abuses

发布时间: 2023/7/7

最近更新时间: 2023/8/10

支持的传感器: Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Medium

基本分数: 6.1

时间分数: 4.5

矢量: CVSS2#AV:N/AC:L/Au:M/C:C/I:N/A:N

CVSS 分数来源: CVE-2023-35786

CVSS v3

风险因素: Medium

基本分数: 4.9

时间分数: 4.3

矢量: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:zohocorp:manageengine_admanager_plus

必需的 KB 项: installed_sw/ManageEngine ADManager Plus

易利用性: No known exploits are available

补丁发布日期: 2023/3/15

漏洞发布日期: 2023/7/5

参考资料信息

CVE: CVE-2023-35786

IAVA: 2023-A-0332-S