最新系统漏洞2021年10月21日
受影响系统:
zoho ManageEngine Key Manager Plus < 6001
描述:
CVE(CAN) ID: CVE-2021-28382
ZOHO ManageEngine Key Manager Plus是卓豪(ZOHO)公司的一套基于WEB的SSH秘钥管理解决方案,它可以帮助您加固、控制、管理、监控及审计SSH秘钥,跨越秘钥的整个生命周期。它为管理员提供了可视化的SSH管理能力,帮助管理员有效控制秘钥文件的合理使用以及秘钥文件的合规性。
Zoho ManageEngine Key Manager Plus 6001之前版本的用户管理页面存在跨站脚本漏洞。攻击者可利用该漏洞从AD导入恶意用户详细信息。
<**>
建议:
厂商补丁:
Zoho ManageEngine
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
https://www.manageengine.com/key-manager/release-notes.html