CVE-2014-8498

Опубликовано: 17 нояб. 2014

Источник: nvd

CVSS2: 6.5

EPSS Низкий

Уязвимость SQL-внедрения в ManageEngine Password Manager Pro и Password Manager Pro Managed Service Providers через параметр SEARCH_ALL, позволяющий выполнение произвольных SQL-команд

Описание

Уязвимость SQL-внедрения обнаружена в файле BulkEditSearchResult.cc программных продуктов ManageEngine Password Manager Pro (PMP) и Password Manager Pro Managed Service Providers (MSP). Она позволяет злоумышленникам, обладающим аутентификацией, выполнять произвольные SQL-команды посредством параметра SEARCH_ALL.

Затронутые версии ПО

ManageEngine Password Manager Pro и Password Manager Pro Managed Service Providers версии до 7.1 build 7105.

Тип уязвимости

Внедрение SQL-команд

Ссылки

http://osvdb.org/show/osvdb/114483
Broken Link
http://packetstormsecurity.com/files/129036/Password-Manager-Pro-SQL-Injection.html
Exploit
Third Party Advisory
VDB Entry
http://seclists.org/fulldisclosure/2014/Nov/18
Exploit
Mailing List
Third Party Advisory
http://www.exploit-db.com/exploits/35210
Exploit
Third Party Advisory
VDB Entry
http://www.securityfocus.com/bid/71016
Third Party Advisory
VDB Entry
https://exchange.xforce.ibmcloud.com/vulnerabilities/98596
VDB Entry
https://raw.githubusercontent.com/pedrib/PoC/master/ManageEngine/me_pmp_privesc.txt
Exploit
http://osvdb.org/show/osvdb/114483
Broken Link
http://packetstormsecurity.com/files/129036/Password-Manager-Pro-SQL-Injection.html
Exploit
Third Party Advisory
VDB Entry
http://seclists.org/fulldisclosure/2014/Nov/18
Exploit
Mailing List
Third Party Advisory
http://www.exploit-db.com/exploits/35210
Exploit
Third Party Advisory
VDB Entry
http://www.securityfocus.com/bid/71016
Third Party Advisory
VDB Entry
https://exchange.xforce.ibmcloud.com/vulnerabilities/98596
VDB Entry
https://raw.githubusercontent.com/pedrib/PoC/master/ManageEngine/me_pmp_privesc.txt
Exploit

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:zohocorp:manageengine_password_manager_pro:*:*:*:*:-:*:*:*

Версия до 7.1 (включая)

cpe:2.3:a:zohocorp:manageengine_password_manager_pro:*:*:*:*:managed_service_providers:*:*:*

Версия до 7.1 (включая)

EPSS

Процентиль: 89%

0.04568

Низкий

6.5 Medium

CVSS2

Дефекты

CWE-89

Связанные уязвимости

GHSA-xf3p-q8vw-8226

github

больше 3 лет назад

SQL injection vulnerability in BulkEditSearchResult.cc in ManageEngine Password Manager Pro (PMP) and Password Manager Pro Managed Service Providers (MSP) edition before 7.1 build 7105 allows remote authenticated users to execute arbitrary SQL commands via the SEARCH_ALL parameter.