Security Updates on Vulnerabilities

首页 »

特权提升

本文档将列出并解释已经发布公告的特权提升漏洞。

编号 漏洞 修复发布日期 公告发布于
1 CVE-2019-12133 2019年4月30日 Hashim Jawad from ACTIVELabs
2 CVE-2018-13411、CVE-2018-13412 2018年8月23日 Abdullah AlJaber
3 CVE-2018-12999 2018年7月26日 DBAppSecurity
4 CVE-2018-5339、CVE-2018-5340 2018年4月24日 NCC Group Security Advisory
5 CVE-2018-5337、CVE-2018-5338、CVE-2018-5341 2018年3月27日 NCC Group Security Advisory

 

问题

  1. C:\ManageEngine目录的不正确权限,允许非特权用户将权限升级到NT AUTHORITY\SYSTEM。
  2. 计算机安装了Endpoint Central代理的未经授权的用户,具有系统特权可以访问命令提示符。
  3. 未经授权的用户能够从Endpoint Central服务器计算机上删除文件。
  4. 未经授权的用户可以执行查询来更改数据库中的条目。
  5. 未经授权的用户能够:
    • 在Endpoint Central服务器上执行查询(查询类型限制by-pass)。
    • 使用目录遍历或文件类型限制by-pass执行整个网络中的任意Web可执行文件。

如何修复?

这些漏洞已被识别并修复,应用修复步骤如下:

  1. 登录您的Endpoint Central控制台,点击右上角的当前构建号。
  2. 您可以找到适用于您的最新版本。下载PPM并更新。

    3.  

    关键词:查询执行、安全更新、漏洞和修复

     
    知识库
     

     

我们的客户