JVNDB-2014-005954

JVNDB-2014-005954
複数の ZOHO 製品におけるディレクトリトラバーサルの脆弱性
概要
ZOHO ManageEngine OpManager、IT360 および Social IT Plus には、ディレクトリトラバーサルの脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 7.5 (危険) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 不要機密性への影響(C): 部分的完全性への影響(I): 部分的可用性への影響(A): 部分的
影響を受けるシステム

Zoho Corporation ManageEngine IT360 10.3 ManageEngine IT360 10.4 ManageEngine OpManager 8 (build 88xx) から 11.4 ManageEngine Social IT Plus 11.0

想定される影響
第三者、またはリモート認証されたユーザにより、 .. (ドットドット) を含む (1) MigrateLEEData サーブレットの fileName パラメータまたは (2) MigrateCentralData サーブレットの downloadFileFromProbe 操作の zipFileName パラメータを介して、任意のファイルへの書き込みや実行をされる可能性があります。
対策
ベンダ情報および参考情報を参照して適切な対策を実施してください。
ベンダ情報
Zoho Corporation ManageEngine : CVE-2014-7866 : Fix for Remote code execution via file upload vulnerability
CWEによる脆弱性タイプ一覧 CWEとは?
パス・トラバーサル(CWE-22) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2014-7866
参考情報
National Vulnerability Database (NVD) : CVE-2014-7866 関連文書 : Multiple vulnerabilities in ManageEngine OpManager, Social IT Plus and IT360
更新履歴
[2014年12月15日] 掲載


公表日	2014/09/27
登録日	2014/12/15
最終更新日	2014/12/15

複数の ZOHO 製品におけるディレクトリトラバーサルの脆弱性