ГлавнаяБаза уязвимостей БДУ → BDU:2017-02305
10критическая

BDU:2017-02305 (CVE-2015-8249)

Уязвимость класса FileUploadServlet программного средства для управления рабочими местами через веб-интерфейс ManageEngine Desktop Central, позволяющая нарушителю загрузить и выполнить произвольный файл
Опубликовано: 2017-10-26
Описание

Уязвимость класса FileUploadServlet программного средства для управления рабочими местами через web-интерфейс ManageEngine Desktop Central связана с отсутствием ограничений на загрузку файлов. Эксплуатация уязвимости может позволить не аутентифицированному нарушителю, действующему удалённо, загрузить и выполнить произвольный файл в контексте SYSTEM с путем инъекции нулевого байта в конец значения параметра ConnectionId

Затрагиваемое ПО и версии
ManageEngine Desktop Central (до 9 build 91093)
Способ устранения

Обновление программного обеспечения до версии 9 build 91093

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
http://packetstormsecurity.com/files/134806/ManageEngine-Desktop-Central-9-FileUploadServlet-ConnectionId.htmlhttp://www.rapid7.com/db/modules/exploit/windows/http/manageengine_connectionid_writehttps://community.rapid7.com/community/infosec/blog/2015/12/14/r7-2015-22-manageengine-desktop-central-9-fileuploadservlet-connectionid-vulnerability-cve-2015-8249https://www.exploit-db.com/exploits/38982/
Проверьте безопасность своего сайта и почты → Полная проверка домена