Trend Micro Mobile Security for Enterprise SQL注入导致RCE (CVE-2017-14078)

从网页截图中可以获取到以下关于漏洞的关键信息： 漏洞标题: Trend Micro Mobile Security for Enterprise move_group Id SQL Injection Remote Code Execution Vulnerability ID: - ZDI-17-762 - ZDI-CAN-4665 CVE ID: CVE-2017-14078 CVSS 评分: 9.0 (AV:N/AC:L/Au:S/C:C/I:C/A:C) 受影响的供应商: Trend Micro 受影响的产品: Mobile Security for Enterprise 趋势微客户保护: 提示了客户可以通过TippingPoint IPS的Digital Vaccine保护过滤器ID [‘28286’] 来防护此漏洞。 漏洞细节: - 简介: 此漏洞使远程攻击者可以在易受攻击的Trend Micro Mobile Security for Enterprise安装上执行任意代码。此漏洞的利用需要经过身份验证。 - 特定的漏洞: 此漏洞存在于move_group动作的处理过程中。在解析'id'字段时，该过程没有正确验证用户提供的字符串，就直接用来构造SQL查询。 额外细节: 提示访问者查看Trend Micro发布的更新以补正此漏洞的详细，链接为 https://success.trendmicro.com/solution/1118224。 披露时间线: - 2017-05-11: 向供应商报告漏洞 - 2017-09-15: 协调公开发布建议公告 发现者: Stevens Seeley(@mr_me) of Offensive Security & Roberto Suggi Liverni - @malerisch

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Trend Micro Mobile Security for Enterprise SQL注入导致RCE (CVE-2017-14078)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！