漏洞标题
N/A
漏洞描述信息
ZOHO ManageEngine EventLog Analyzer 10.6 build 10060 及更早版本允许远程攻击者绕过预期的限制,通过允许的查询 followed by 不允许的查询参数到 event/runQuery.do 执行任意的 SQL 命令,例如 "SELECT 1;INSERT INTO"。修复于 Build 11200 更新。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
ZOHO ManageEngine EventLog Analyzer 10.6 build 10060 and earlier allows remote attackers to bypass intended restrictions and execute arbitrary SQL commands via an allowed query followed by a disallowed one in the query parameter to event/runQuery.do, as demonstrated by "SELECT 1;INSERT INTO." Fixed in Build 11200.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
ZOHO ManageEngine EventLog Analyzer SQL注入漏洞
漏洞描述信息
ZOHO ManageEngine EventLog Analyzer是美国卓豪(ZOHO)公司的一套系统、事件日志分析软件。该软件能够对全网范围内的主机、服务器、网络设备以及各种应用服务系统等产生的日志,进行全面收集和细致分析。 ZOHO ManageEngine EventLog Analyzer 10.6 build 10060及之前版本中存在SQL注入漏洞,该漏洞源于event/runQuery.do文件没有充分过滤‘query’参数。远程攻击者可利用该漏洞绕过既定的限制,执行任意SQL命令。
CVSS信息
N/A
漏洞类别
SQL注入