漏洞信息
# N/A
## 漏洞概述
Zoho ManageEngine OpManager 在12.3 Build 123196版本之前的版本中,对 `/oputilsServlet` 请求无需进行身份验证,从而允许攻击者通过发送 `/oputilsServlet?action=getAPIKey` 请求获取 API 密钥。这可以通过 `/api/json/v2/admin/addUser` 请求添加管理员用户或通过 `/api/json/device/setManaged` 中的 `name` 参数执行SQL注入攻击。
## 影响版本
- Zoho ManageEngine OpManager 12.3 Build 123196之前的版本
## 细节
- 攻击者可通过未经身份验证的 `/oputilsServlet?action=getAPIKey` 请求获取API密钥。
- 通过该API密钥,攻击者可以向防火墙分析器发送请求,利用 `/api/json/v2/admin/addUser` 添加管理员用户。
- 攻击者还可以通过 `/api/json/device/setManaged` 中的 `name` 参数发起SQL注入攻击。
## 影响
- 允许未经授权的用户获取API密钥。
- 攻击者可以通过添加管理员账号获取对系统的管理权限。
- 攻击者还可以利用SQL注入的方式干扰系统正常运行,窃取或篡改数据。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
漏洞描述信息
Zoho ManageEngine OpManager before 12.3 Build 123196 does not require authentication for /oputilsServlet requests, as demonstrated by a /oputilsServlet?action=getAPIKey request that can be leveraged against Firewall Analyzer to add an admin user via /api/json/v2/admin/addUser or conduct a SQL Injection attack via the /api/json/device/setManaged name parameter.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
ZOHO ManageEngine OpManager 安全漏洞
漏洞描述信息
ZOHO ManageEngine OpManager是美国卓豪(ZOHO)公司的一套网络、服务器及虚拟化监控软件。 ZOHO ManageEngine OpManager 12.3 Build 123196之前版本中存在安全漏洞,该漏洞源于程序没有对/oputilsServlet请求要求身份验证。攻击者可利用该漏洞泄露信息或实施SQL注入攻击。
CVSS信息
N/A
漏洞类别
SQL注入