CVE-2014-5445

EPSS 98.2%

Vexday Risk Score

60Atenção

Decisão SSVC (CISA)

Attend

PoC disponível → acompanhar de perto

CVSS —EPSS 98.2%KEV nãoPoC públicaNuclei —Metasploit simPatch —

Ciclo de vida

30 nov 2014Exploit Metasploit disponível

03 dez 2014PoC pública

04 dez 2014Publicada no NVD

Recomendação: Planejar correção próxima — já existe PoC pública.

Multiple absolute path traversal vulnerabilities in ZOHO ManageEngine Netflow Analyzer 8.6 through 10.2 and IT360 10.3 allow remote attackers or remote authenticated users to read arbitrary files via a full pathname in the schFilePath parameter to the (1) CSVServlet or (2) CReportPDFServlet servlet.

Produtos afetados

n/a · n/a

PoCs públicas encontradas — 2

cve_referencepacketstormsecurity.com/files/129336/ManageEngine-Netflow-Analyzer-IT360-File-Download.htmlnão verificado exploitdbwww.exploit-db.com/exploits/43895não verificado

⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

http://packetstormsecurity.com/files/129336/ManageEngine-Netflow-Analyzer-IT360-File-Download.html http://seclists.org/fulldisclosure/2014/Dec/9 https://exchange.xforce.ibmcloud.com/vulnerabilities/99045 https://github.com/rapid7/metasploit-framework/pull/4282 https://raw.githubusercontent.com/pedrib/PoC/master/ManageEngine/me_netflow_it360_file_dl.txt https://support.zoho.com/portal/manageengine/helpcenter/articles/cve-2014-5445-cve-2014-5446-fix-for-arbitrary-file-download http://www.securityfocus.com/archive/1/534122/100/0/threaded http://www.securityfocus.com/archive/1/534141/100/0/threaded http://www.securityfocus.com/bid/71404