发布日期：2019-07-15
更新日期：2019-07-15

受影响系统：

zoho ManageEngine Netflow Analyzer Professional 7.0.0.2

不受影响系统：

zoho ManageEngine Netflow Analyzer Professional 12.3.323

描述：

---

BUGTRAQ  ID: 108553
CVE(CAN) ID: CVE-2019-8925

Zoho ManageEngine NetFlow Analyzer Professional是美国卓豪ZOHO公司的一套基于Web的带宽监控工具。该产品主要用于带宽监控和流量分析。
Zoho ManageEngine NetFlow Analyzer Professional 7.0.0.2版本管理区/netflow/servlet/CReportPDFServlet（通过schFilePath参数）中存在目录遍历漏洞，该漏洞源于绕过了预设的SecurityManager限制并通过任何文件名列出父目录，如schFilePath=C:\boot.ini值。远程攻击者可利用该漏洞通过使用目录遍历字符('../')访问包含敏感信息的任意文件。

<*来源：Rafael Pedrero
  
  链接：https://www.manageengine.com/products/netflow/readme.html#123323
*>

建议：

---

厂商补丁：

zoho
----
zoho已经为此发布了一个安全公告（CVE-2019-8925）以及相应补丁:
CVE-2019-8925：NetFlow Analyzer README
链接：https://www.manageengine.com/products/netflow/readme.html#123323

补丁下载：

浏览次数：1935
严重程度：0（网友投票）