ManageEngine ServiceDesk Plus “ciName”脚本插入漏洞

发布日期:2012-11-19
更新日期:2012-11-20

受影响系统:
ManageEngine ServiceDesk Plus 8.x
描述:
--------------------------------------------------------------------------------
ManageEngine Service Desk Plus是可定制的帮助桌面软件。

ManageEngine Service Desk Plus 8.1.0 build 8116及其他版本存在安全漏洞,在更新配置文件细节时通过"ciName" POST参数发送到RequesterDef.do的输入没有正确过滤即被使用,可被利用插入任意HTML和脚本代码,当用户查看后,在受影响站点的用户浏览器中执行。

<*来源:Ibrahim El-Sayed
 
  链接:
        *>

建议:
--------------------------------------------------------------------------------
厂商补丁:

ManageEngine
------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wyjyxz.html