漏洞复现 | ManageEngine ServiceDesk Plus 从 XSS 到 RCE 漏洞利用链
0x01 漏洞描述
ZOHO ManageEngine ServiceDesk Plus(SDP)是美国卓豪(ZOHO)公司的一套基于ITIL架构的IT服务管理软件。该软件集成了事件管理、问题管理、资产管理IT项目管理、采购与合同管理等功能模块。
360漏洞云监测到安全研究人员近日公开了ManageEngine ServiceDesk Plus中的一个“从存储型跨站脚本到远程代码执行”的漏洞利用链的技术细节。未经认证的远程攻击者可通过上传恶意资产文件到帮助台,实现以SYSTEM权限执行任意命令。
该利用链涉及以下两个漏洞:
- CVE-2021-20080 存储型跨站脚本
该漏洞源于输出过滤不严,未经身份认证的远程攻击者可通过上传特制的XML资产文件进行持久型跨站脚本(XSS)攻击。
- CVE-2021-20081 输入验证不当
该漏洞源于输入验证不当,经认证的远程攻击者可利用该漏洞以SYSTEM权限执行任意命令。
360漏洞云已于第一时间成功复现该漏洞。
0x02 危害等级
高危
0x03 漏洞复现
360漏洞云已成功复现该漏洞,演示如下:
CVE-2021-20080
CVE-2021-20081
完整POC代码已在360漏洞云情报平台发布,360漏洞云情报平台用户可通过平台下载进行安全自检。
0x04 影响版本
- CVE-2021-20080
ManageEngine ServiceDesk Plus < 11200
ManageEngine AssetExplorer < 6800
- CVE-2021-20081
ManageEngine ServiceDesk Plus < 11205
0x05 修复版本
- CVE-2021-20080
ManageEngine ServiceDesk Plus 11200
ManageEngine AssetExplorer 6800
- CVE-2021-20081
ManageEngine ServiceDesk Plus 11205
0x06 修复建议
厂商已发布补丁修复漏洞,用户请尽快更新。
