CVE-2014-7868
CVE-2014-7868
Vexday Risk Score
45Atención
Decisión SSVC (CISA)
Attend
PoC disponible → seguir de cerca
Madurez del exploit
Prueba de concepto
Existe prueba de concepto pública, pero aún no automatizada.
CVSS —EPSS 73.3%KEV nãoPoC públicaNuclei —Metasploit —Patch —
Ciclo de vida
09 nov 2014PoC pública
04 dic 2014Publicada en NVD
Recomendación: Planificar corrección próxima — ya existe PoC pública.
Multiple SQL injection vulnerabilities in ZOHO ManageEngine OpManager 11.3 and 11.4, IT360 10.3 and 10.4, and Social IT Plus 11.0 allow remote attackers or remote authenticated users to execute arbitrary SQL commands via the (1) OPM_BVNAME parameter in a Delete operation to the APMBVHandler servlet or (2) query parameter in a compare operation to the DataComparisonServlet servlet.
Productos afectados
n/a · n/aPoCs públicas encontradas — 3
cve_referencepacketstormsecurity.com/files/129037/ManageEngine-OpManager-Social-IT-Plus-IT360-File-Upload-SQL-Injection.htmlno verificadoexploitdbwww.exploit-db.com/exploits/35209no verificadoexploitdbwww.exploit-db.com/exploits/43896no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
Referencias
http://packetstormsecurity.com/files/129037/ManageEngine-OpManager-Social-IT-Plus-IT360-File-Upload-SQL-Injection.htmlhttp://seclists.org/fulldisclosure/2014/Nov/21https://raw.githubusercontent.com/pedrib/PoC/master/ManageEngine/me_opmanager_socialit_it360.txthttps://support.zoho.com/portal/manageengine/helpcenter/articles/sql-injection-vulnerability-fixhttp://www.securityfocus.com/archive/1/533946/100/0/threadedhttp://www.securityfocus.com/bid/71002