CVE-2021-37415 — 神龙十问 AI 深度分析摘要

🚨 **本质**：ZOHO ManageEngine ServiceDesk Plus 存在**访问控制错误**。 🔥 **后果**：部分 API 接口**缺少鉴权限制**，攻击者无需登录即可直接访问敏感链接，导致信息泄露风险。

🛡️ **根本原因**：**访问控制缺陷**。 🔍 **缺陷点**：产品内部某些 **REST-API URLs** 未实施有效的身份验证机制，导致**鉴权绕过**。

📦 **受影响产品**：ZOHO ManageEngine ServiceDesk Plus (SDP)。 📉 **受影响版本**：明确提及 **11** 版本（注：PoC 指出 **11302 之前**的版本均受影响）。

💻 **黑客能力**： 1️⃣ **无认证访问**：直接调用敏感 API。 2️⃣ **数据窃取**：可能获取未授权的系统配置或业务数据。 3️⃣ **权限提升**：利用未保护接口作为跳板。

🚪 **利用门槛**：**极低**。 ✅ **无需认证**：不需要账号密码。 ⚙️ **无需复杂配置**：直接构造 HTTP 请求访问特定 URL 即可触发。

🧪 **现成 Exp**：**有**。 🔗 **PoC 来源**：ProjectDiscovery 的 **nuclei-templates** 已提供自动化检测模板。 🌍 **在野利用**：数据未明确提及大规模在野利用，但 PoC 公开意味着利用门槛已消失。

🔍 **自查方法**： 1️⃣ **扫描**：使用支持 CVE-2021-37415 的漏洞扫描器（如 Nuclei）。 2️⃣ **验证**：尝试访问已知受影响的 REST API 端点，检查是否返回敏感数据而非 401/403 错误。

🛠️ **官方修复**：**已修复**。 📝 **补丁信息**：参考 ManageEngine 官方文档，版本 **11302** 及之后版本已修复此漏洞。 🔗 **参考链接**：ManageEngine 官方 Readme 页面。

🚧 **临时规避**： 1️⃣ **网络隔离**：限制对 ServiceDesk Plus 管理端口的访问。 2️⃣ **WAF 防护**：配置 Web 应用防火墙，拦截对敏感 API 路径的未授权请求。 3️⃣ **最小权限**：确保服务仅监听必要接口。

⚡ **优先级**：**高**。 📢 **建议**：鉴于利用门槛极低且 PoC 公开，建议立即升级至 **11302** 以上版本或应用官方补丁，防止敏感数据被自动化扫描器批量窃取。