ZOHO SupportCenter Plus 跨站脚本漏洞

admin
admin
admin
0
文章
0
评论
2024-01-13 17:03:42 YS 来源:ZONE.CI 全球网 0 阅读模式
> ZOHO SupportCenter Plus 跨站脚本漏洞

ZOHO SupportCenter Plus 跨站脚本漏洞

CNNVD-ID编号 CNNVD-201501-705 CVE编号 CVE-2015-0866
发布时间 2015-01-30 更新时间 2015-02-03
漏洞类型 跨站脚本 漏洞来源 High-Tech Bridge Security Research
危险等级 中危 威胁类型 远程
厂商 zohocorp

漏洞介绍

ZOHO ManageEngine SupportCenter Plus是美国卓豪(ZOHO)公司的一套客户服务支持管理软件。该软件提供帮助台、客户管理、服务级别管理和跟踪客户请求等功能。

Zoho ManageEngine SupportCenter Plus hotfix 7941之前7.9版本中存在跨站脚本漏洞,该漏洞源于HomePage.do文件没有充分过滤‘fromCustomer’、‘username’和‘password’参数。远程攻击者可利用该漏洞注入任意Web脚本或HTML。

漏洞补丁

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

https://forums.manageengine.com/topic/security-update-for-supportcenter-plus

参考网址

来源:forums.manageengine.com

链接:https://forums.manageengine.com/topic/security-update-for-supportcenter-plus

来源:www.htbridge.com

链接:https://www.htbridge.com/advisory/HTB23247

来源:BID

链接:http://www.securityfocus.com/bid/72349

受影响实体

Zohocorp Manageengine_supportcenter_plus:7.9

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201501-705

weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0