发布日期：2020-05-08
更新日期：2020-07-28

受影响系统：

zoho ManageEngine DataSecurity Plus < 6.0.1

描述：

---

CVE(CAN) ID: CVE-2020-11532

ZOHO ManageEngine DataSecurity Plus是美国卓豪（ZOHO）公司的一套敏感数据管理解决方案。该产品具有数据防泄漏、数据风险评估和文件服务器审核等功能。
ZOHO ManageEngine DataSecurity Plus 6.0.1之前版本中存在认证绕过漏洞。该漏洞源于Zoho ManageEngine DataSecurity Plus 6.0.1之前使用默认的管理员凭证与DataEngine Xnode服务器通信。攻击者利用此漏洞可以绕过该服务器的认证并在管理员用户的上下文中执行所有操作。

<*来源：Sahil Dhar
  *>

建议：

---

厂商补丁：

Zohocorp
--------
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://pitstop.manageengine.com/portal/community/topic/upgrade-datasecurity-plus-to-the-build-6013-to-fix-security-issues

浏览次数：960
严重程度：0（网友投票）