BiznetBiznet

ManageEngine OPManager Stored XSS Güvenlik Açıklığı

Yazar: Murat Aydemir

CVE: CVE-2018-18262

CVSS: 9.6 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Risk Seviyesi: Acil

Ürün: ManageEngine OPManager

Etkilenen Sürümler: OPManager version 12.3

Yama Tarihi: 15.10.2018

Raporlayan: Murat Aydemir

Problem Detayları: Uygulamanın kullandığı kategori ekleme fonksiyonu Cross Site Scripting zafiyetinden etkilenmektedir. Zafiyetin sömürülmesi halinde oturum cookieleri çalınabilir, hedef sunucu üzerinde yetkisiz olarak javascript kodları yorumlatılabilir.

Çözüm/Öneri: ManageEngine ilgili zafiyeti giderek yeni bir sürüm çıkarmıştır. Güncel olan en son sürümünün kullanılması tavsiye edilmiştir.

Referanslar:

https://seclists.org/fulldisclosure/2018/Oct/34

https://www.manageengine.com/network-monitoring/help/read-me.html

https://www.manageengine.com/network-monitoring/download.html

 

murat.aydemir
Yazar: murat.aydemir