BiznetBiznet

By Ece Örsel

SAP J2EE Engine/7.01/Fiori Multiple Cross Site Scripting (XSS) Güvenlik Açıkları

CVE: CVE-2018-17862, CVE-2018-17862, CVE-2018-17865

Risk Seviyesi: Yüksek

Ürün: SAP J2EE Engine/Fiori

Etkilenen Sürümler: SAP J2EE Engine/7.01/Fiori

Raporlama Tarihi: 19 Temmuz 2018

Raporlayan: Ece ÖRSEL

Problem Detayları:SAP J2EE Engine/7.01/Fiori uygulamasında Cross Site Scripting (XSS) zafiyetine neden olan problem tespit edilmiştir. XSS zafiyetleri kullanıcılara ait oturum bilgilerini çalma amaçlı saldırılarda kullanılabilirler.

Çözüm/Öneri: SAP J2EE Engine ‘nin en güncel sürümüne geçilmesi önerilmektedir.

Referanslar: https://packetstormsecurity.com/files/151947/SAP-J2EE-Engine-7.01-Fiori-Protocol-Cross-Site-Scripting.html

By Murat Aydemir

ManageEngine OPManager Unrestricted/Arbitrary File Upload Güvenlik Açıklığı

CVE: CVE-2018-18475

CVSS:9.6 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Risk Seviyesi: Acil

Ürün: ManageEngine OPManager

Etkilenen Sürümler: OPManager version 12.3

Yama Tarihi: 16.10.2018

Raporlayan: Murat Aydemir

Problem Detayları:İlgili uygulama içerisinde iş tanımı yapılırken kullanılan dosya yükleme fonksiyonunun content-type ve extension kontrollerini eksiz/geçersiz yapması, kötü niyetli saldırganların, sunucu üzerinde kod çalıştırmalarını sağlayacak zararlı kodları sisteme yüklemesine olanak tanımaktadır.

Çözüm/Öneri:ManageEngine ilgili zafiyeti giderek yeni bir sürüm çıkarmıştır. Güncel olan en son sürümünün kullanılması tavsiye edilmiştir.

Referanslar:

https://seclists.org/fulldisclosure/2018/Oct/42
https://www.manageengine.com/network-monitoring/help/read-me.html
https://bugbounty.zoho.com/bb/info#hof

By Biznet Bilişim A.Ş.

Zoho ManageEngine Opmanager SQL Injection Güvenlik Açığı

CVE: CVE-2018-18949

CVSS:9.6 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Risk Seviyesi: Acil

Ürün: ManageEngine OPManager

Etkilenen Sürümler: OPManager version 12.3

Yama Tarihi: 16.11.2018

Raporlayan: Hakan Bayır

Problem Detayları: Zoho ManageEngine Opmanager 12.3 sürümü SQL Injection güvenlik probleminden etkilenmektedir. SQL Injection güvenlik problemi veritabanı üzerinde istenilen sorguların ve işletim sistemi üzerinde komut çalıştırılmasına neden olabilir.

Çözüm/Öneri:ManageEngine ilgili zafiyeti giderek yeni bir sürüm çıkarmıştır. Güncel olan en son sürümünün kullanılması tavsiye edilmiştir.

Referanslar:

https://seclists.org/fulldisclosure/2018/Nov/24
https://nvd.nist.gov/vuln/detail/CVE-2018-18949
https://www.manageengine.com/network-monitoring/help/read-me.html

By Biznet Bilişim A.Ş.

Zoho ManageEngine Opmanager Cross Site Scripting Güvenlik Problemleri

CVE: CVE-2018-18715, CVE-2018-18716

Risk Seviyesi: Kritik

Ürün: ManageEngine OPManager

Etkilenen Sürümler: OPManager version 12.3

Yama Tarihi: Kasım 2018

Raporlayan: Hakan Bayır

Problem Detayları: Zoho ManageEngine Opmanager 12.3 sürümü Cross Site Scripting (XSS) güvenlik problemlerinden etkilenmektedir. XSS güvenlik problemleri kullanıcılara ait oturum bilgilerinin çalınması amacıyla kullanılabilir.

Çözüm/Öneri:ManageEngine ilgili zafiyeti giderek yeni bir sürüm çıkarmıştır. Güncel olan en son sürümünün kullanılması tavsiye edilmiştir.

Referanslar:

https://seclists.org/fulldisclosure/2018/Nov/3
https://www.manageengine.com/network-monitoring/help/read-me.html
https://seclists.org/fulldisclosure/2018/Nov/6
https://www.manageengine.com/network-monitoring/help/read-me.html

By Okan Coşkun

Checkpoint User and Device Management R77.30 Dizin Atlama Güvenlik Problemi

CVE: 

CVSS: 7.2 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:L

Risk Seviyesi: Kritik

Ürün: Checkpoint User and Device Management

Etkilenen Sürümler: R77.30.01 Gaia

Yama Tarihi: 04 Kasım 2018

Raporlayan: Okan Coşkun

Problem Detayları: Checkpoint User and Device web uygulamasına gönderilen özel karakterler ile uygulama yapısı bozularak, sunucu üzerinde erişimin yasak olduğu uygulamalara ve dosyalara erişim sağlanabilmektedir. Bu zafiyet yetkisiz kullanıcıların sistem yapılandırması hakkında önemli bilgiler elde etmesine izin vermektedir.

Çözüm/Öneri: İlgili sorun için üretici tarafından yayınlanan ve referanslar bölümündeki linkte yer alan yama kullanılabilir.

Referanslar:

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk137552

1 2 3 7