ManageEngine ServiceDesk Plus “ciName”脚本插入漏洞

发布日期：2012-11-19
更新日期：2012-11-20受影响系统：
ManageEngine ServiceDesk Plus 8.x
描述：
--------------------------------------------------------------------------------
ManageEngine Service Desk Plus是可定制的帮助桌面软件。ManageEngine Service Desk Plus 8.1.0 build 8116及其他版本存在安全漏洞，在更新配置文件细节时通过"ciName" POST参数发送到RequesterDef.do的输入没有正确过滤即被使用，可被利用插入任意HTML和脚本代码，当用户查看后，在受影响站点的用户浏览器中执行。<*来源：Ibrahim El-Sayed

链接：http://secunia.com/advisories/51350/
*>建议：
--------------------------------------------------------------------------------
厂商补丁：ManageEngine
------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：http://www.manageengine.com/products/opmanager/index.htmlEMC RSA Data Protection Manager Appliance 身份验证错误限制漏洞EMC RSA Data Protection Manager Appliance和Software Server跨站脚本执行漏洞相关资讯脚本插入漏洞

Raidsonic ICY BOX NAS-4220-B / （02/26/2013 09:01:26）
RoundCube Webmail Larry皮肤邮件（08/21/2012 06:40:36）
HP AssetManager多个脚本插入漏洞（07/16/2012 21:17:11）

ServersCheck Monitoring Software （10/16/2012 06:34:40）
WinWebMail Server HTML Mail脚本（08/13/2012 07:05:24）
Bricolage多个XSS脚本执行和脚本插（06/21/2012 06:05:49）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任