ManageEngine Applications Manager 12 and 13 is vulnerable to privilege escalation and authentication bypass 漏洞信息(CVE-2016-9489)

一、漏洞 CVE-2016-9489 基础信息

漏洞标题

ManageEngine Applications Manager 12和13存在特权提升和身份验证绕过漏洞

来源：AIGC 神龙大模型

漏洞描述信息

在 ManageEngine Applications Manager 12 和 13 的版本中，低于构建版本 13200 的验证用户能够修改其所有自身属性，包括其所在组，也就是说，他们能够将自己所属的组更改为具有更高权限的组，如 "ADMIN"。用户还能够修改其他用户的信息，例如更改其他用户的密码。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

ManageEngine Applications Manager 12 and 13 is vulnerable to privilege escalation and authentication bypass

来源：美国国家漏洞数据库 NVD

漏洞描述信息

In ManageEngine Applications Manager 12 and 13 before build 13200, an authenticated user is able to alter all of their own properties, including own group, i.e. changing their group to one with higher privileges like "ADMIN". A user is also able to change properties of another user, e.g. change another user's password.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

特权管理不恰当

来源：美国国家漏洞数据库 NVD

漏洞标题

ZOHO ManageEngine Applications Manager 信任管理漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

ZOHO ManageEngine Applications Manager是美国卓豪（ZOHO）公司的一套应用性能监控软件。该软件可对不同的业务系统、应用和网络服务（如服务器、操作系统等）进行远程监控和管理。 ZOHO ManageEngine Applications Manager 12版本和13版本中存在信任管理漏洞。远程攻击者可利用该漏洞获取权限。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

权限许可和访问控制问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2016-9489 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2016-9489 的情报信息

https://www.manageengine.com/products/applications_manager/security-updates/security-updates-cve-2016-9489.html x_refsource_CONFIRM
https://www.securityfocus.com/bid/97394/ vdb-entry x_refsource_BID
http://seclists.org/fulldisclosure/2017/Apr/9 mailing-list x_refsource_FULLDISC
https://nvd.nist.gov/vuln/detail/CVE-2016-9489

一、 漏洞 CVE-2016-9489 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2016-9489 的公开POC

三、漏洞 CVE-2016-9489 的情报信息

一、漏洞 CVE-2016-9489 基础信息