关键信息 发布日期: November 15th, 2022 漏洞名称: ManageEngine ServiceDesk Plus MSP exportMickeyList Improper Input Validation Privilege Escalation Vulnerability 漏洞标识符: - ZDI-22-1490 - ZDI-CAN-18608 CVE ID: CVE-2022-40773 CVSS 评分: 8.8, AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 受影响供应商: ManageEngine 受影响产品: ServiceDesk Plus MSP 漏洞详情: - 此漏洞允许远程攻击者在受影响的 ManageEngine ServiceDesk Plus MSP 安装上提升权限。利用此漏洞需要身份验证。 - 具体问题是 exportMickeyList 动作中对用户输入数据的验证不足。攻击者可以利用此漏洞提升权限,访问通常对用户受限的资源。 额外详情: ManageEngine 已发布更新以修正此漏洞。更多信息见: https://www.manageengine.com/products/service-desk-msp/cve-2022-40773.html 披露时间线: - 2022-09-08 - 向供应商报告漏洞 - 2022-11-15 - 协调公开发布咨询 - 2022-11-15 - 更新咨询 致谢: Piotr Bazydlo (@chudyqb) of Trend Micro Zero Day Initiative