CVE-2014-6043
CVE-2014-6043
ZOHO ManageEngine EventLog Analyzer 9.0 build 9002 and 8.2 build 8020 does not properly restrict access to the database browser, which allows remote authenticated users to obtain access to the database via a direct request to event/runQuery.do. Fixed in Build 10000.
Produtos afetados
n/a · n/aPoCs públicas encontradas — 3
cve_referencepacketstormsecurity.com/files/128102/ManageEngine-EventLog-Analyzer-9.9-Authorization-Code-Execution.htmlnão verificadocve_referencewww.exploit-db.com/exploits/34519não verificadoexploitdbwww.exploit-db.com/exploits/34519não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
http://packetstormsecurity.com/files/128102/ManageEngine-EventLog-Analyzer-9.9-Authorization-Code-Execution.htmlhttp://seclists.org/fulldisclosure/2014/Aug/86http://seclists.org/fulldisclosure/2014/Sep/19https://www.mogwaisecurity.de/advisories/MSA-2014-01.txthttp://www.exploit-db.com/exploits/34519http://www.securityfocus.com/bid/69482