发布日期：2019-07-15
更新日期：2019-07-15

受影响系统：

zoho ManageEngine ServiceDesk Plus 10.0 build 10011
zoho ManageEngine ServiceDesk Plus 10.0 build 10010
zoho ManageEngine ServiceDesk Plus 10.0 build 10009
zoho ManageEngine ServiceDesk Plus 10.0 build 10008
zoho ManageEngine ServiceDesk Plus 10.0 build 10007
zoho ManageEngine ServiceDesk Plus 10.0 build 10006
zoho ManageEngine ServiceDesk Plus 10.0 build 10005
zoho ManageEngine ServiceDesk Plus 10.0 build 10004
zoho ManageEngine ServiceDesk Plus 10.0 build 10003
zoho ManageEngine ServiceDesk Plus 10.0 build 10002
zoho ManageEngine ServiceDesk Plus 10.0 build 10001
zoho ManageEngine ServiceDesk Plus 10.0 build 10000

不受影响系统：

zoho ManageEngine ServiceDesk Plus 10.0 build 10013
zoho ManageEngine ServiceDesk Plus 10.0 build 10012

描述：

---

BUGTRAQ  ID: 107129
CVE(CAN) ID: CVE-2019-8394

Zoho ManageEngine ServiceDesk Plus是美国ZOHO公司的一套基于ITIL架构的IT服务管理软件。该软件集成了事件管理、问题管理、资产管理IT项目管理、采购与合同管理等功能模块。
Zoho ManageEngine ServiceDesk Plus 10.0 build 10012之前版本中存在任意文件上传漏洞，该漏洞源于允许远程攻击者通过定制登录页面上传任意文件。攻击者可以利用该漏洞上传任意文件并在Web服务器进程上下文中运行。

<*来源：Dao Duy Hung
  
  链接：https://www.manageengine.co.uk/products/service-desk/readme.html
*>

建议：

---

厂商补丁：

zoho
----
zoho已经为此发布了一个安全公告（CVE-2019-8394）以及相应补丁:
CVE-2019-8394：ServiceDesk Plus ReadMe
链接：https://www.manageengine.co.uk/products/service-desk/readme.html

补丁下载：

浏览次数：2078
严重程度：0（网友投票）