漏洞信息详情

ManageEngine AssetExplorer 资产数据脚本插入漏洞

• CNNVD编号：CNNVD-201212-096
• 危害等级： 中危
  
• CVE编号： CVE-2012-5956
• 漏洞类型： 跨站脚本
• 发布时间： 2012-12-10
• 威胁类型： 远程
• 更新时间： 2012-12-13
• 厂        商： zohocorp
• 漏洞来源：

漏洞简介

ZOHO ManageEngine AssetExplorer是美国卓豪（ZOHO）公司的一套资产管理软件。该软件提供资产跟踪、IT资产的扫描和资产所有权的跟踪等功能。

ManageEngine AssetExplorer 5.6 service pack 5614之前版本中存在多个跨站脚本漏洞。通过XML资产数据中的字段传送到discoveryServlet/WsDiscoveryServlet目下（如DocRoot/Computer_Information/output元素），远程攻击者利用该漏洞注入任意web脚本或HTML。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.manageengine.com/products/asset-explorer/sp-readme.HTML

参考网址

来源:US-CERT Vulnerability Note: VU#571068

名称: VU#571068

链接:http://www.kb.cert.org/vuls/id/571068

来源: www.manageengine.com

链接:http://www.manageengine.com/products/asset-explorer/sp-readme.HTML

来源:SECUNIA

名称:51367

链接:http://secunia.com/advisories/51367

受影响实体

• Zohocorp Manageengine_assetexplorer:5.6:5613  

补丁

• ManageEngine_AssetExplorer