XSS Bug Place管理员帐户受到威胁
它有助于利用ServiceCek Plus软件,在发现后更新其系统跨站脚本(XSS)未经检查的漏洞可以使攻击者能够完全控制管理员帐户。
ServiceSk Plus由加利福尼亚州的Manageengine开发,IT支持软件,该软件在全球范围内拥有100,000多个安装。著名的客户包括沃达丰,戴尔和本田等。
在测试了IT支持申请的IT支持应用程序后,SEC咨询的安全研究人员发现一种反映XSS'geti18nkey’ - 管理员帐户中发现的模块参数。
为了利用此漏洞,管理员需要单击恶意链接或访问攻击者控制的站点。
SEC咨询很快注意到,此功能将无法在常规的ServiceSk用户帐户上使用。这降低了公司通过标准支持票中包含的网络钓鱼链接妥协的可能性。
但是,如果攻击者能够升级票证或以其他方式强迫管理员单击恶意链接,这将为各种邪恶活动打开大门。
Seconsult的首席安全顾问Johannes Greil告诉Johannes Greil:“如果剩下的未拨动援助,攻击者可能会损害票务系统,例如,[例如](例如)获得内部或敏感信息的所有机票,并可能执行进一步的攻击。”每日swbeplay2018官网ig。
奥地利安全研究人员在12月标记了XSS脆弱性管理Engine的脆弱性,该问题已确定ServiceCeesk更新本月初。
Greil补充说:“ Zoho(Manageengine的母公司)支持团队通过他们提交的咨询服务的票务系统迅速而专业地做出了反应。”“他们似乎已经实施了适当的事件响应过程,并且正在迅速处理安全问题。”
最新版本的Servicedesk Plus包括缓解其他几个安全问题,包括信息披露bug和a跨站点伪造脆弱性。
Manageengine没有立即回应每日swbeplay2018官网ig提出评论的要求。
