Trend Micro Control Manager ‘Cas_LogDirectInsert.aspx’任意账户创建漏洞

漏洞起因
输入验证错误
危险等级

 
影响系统
Trend Micro Control Manager 5.5
Trend Micro Control Manager 5.0
 
不受影响系统
 
危害
远程攻击者可以利用漏洞创建用户账户执行任意代码。
 
攻击所需条件
攻击者必须访问Trend Micro Control Manager。
 
漏洞信息
Trend Micro Control Manager(TMCM)是趋势科技提供的集中安全管理控制台,可以对趋势科技产品与服务进行统一协调。
默认监听在TCP 443端口的Cas_LogDirectInsert.aspx http处理器存在缺陷。特制的POST请求允许远程攻击者提供XML和schema信息,可用于后端数据库的查询。提供特制恶意值,攻击者可以注入用户账户,通过服务上的管理控制台执行任意代码。
 
 
测试方法
 
厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
http://esupport.trendmicro.com/solution/en-us/1058280.aspx
 
漏洞提供者
Andrea Micalizzi aka rgod

发表评论?

0 条评论。

发表评论