ManageEngine EventLog Analyzer “j

发布日期：2014-01-20
更新日期：2014-01-22

受影响系统：
ManageEngine EventLog Analyzer 8.6
描述：
--------------------------------------------------------------------------------
ManageEngine EventLog Analyzer是安全信息和事件管理软件。

ManageEngine EventLog Analyzer 8.6及其他版本没有正确过滤event/j_security_check (当设置了"j_password"后)的"j_username" GET参数，这可导致在受影响站点用户浏览器会话中执行任意HTML和脚本代码。

<*来源：Asheesh Anaconda
 
  链接：
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

ManageEngine
------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

参考：

Joomla! Sexy Polling 组件“answer_id[]” SQL注入漏洞

Tntnet HTTP报文头泄露漏洞(CVE-2013-7299)