发布日期：2020-05-08
更新日期：2020-09-07

受影响系统：

zoho ManageEngine DataSecurity Plus < 6.0.1

描述：

---

CVE(CAN) ID: CVE-2020-11531

ZOHO ManageEngine DataSecurity Plus是美国卓豪（ZOHO）公司的一套敏感数据管理解决方案。该产品具有数据防泄漏、数据风险评估和文件服务器审核等功能。
ZOHO ManageEngine DataSecurity Plus 6.0.1之前版本中的DataEngine Xnode Server应用程序存在路径遍历漏洞。该漏洞源于程序在处理DR-SCHEMA-SYNC请求时未验证数据库架构（schema）名称。攻击者可通过目录遍历将JSP文件写入webroot目录利用该漏洞在产品上下文中执行代码。

<*来源：Sahil Dhar
  *>

建议：

---

厂商补丁：

zoho
----
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://pitstop.manageengine.com/portal/community/topic/upgrade-datasecurity-plus-to-the-build-6013-to-fix-security-issues

浏览次数：833
严重程度：0（网友投票）