Уязвимость выполнения произвольных SQL команд в программе Password Manager Pro через параметр ANDOR
Описание
В уязвимости AdvanceSearch.class, расположенной в AdventNetPassTrix.jar программы ManageEngine Password Manager Pro, обнаружена уязвимость, которая позволяет злоумышленникам удаленно выполнять произвольные SQL команды. Уязвимость возникает при использовании параметра ANDOR, как продемонстрировано в запросе к STATE_ID/1425543888647/SQLAdvancedALSearchResult.cc.
Затронутые версии ПО
ManageEngine Password Manager Pro (PMP) до версии 8.1 Build 8101
Тип уязвимости
Исполнение произвольных SQL команд с помощью удаленного доступа
Ссылки
- http://packetstormsecurity.com/files/132511/ManageEngine-Password-Manager-Pro-8.1-SQL-Injection.htmlExploit
- Exploit
- PatchVendor Advisory
- http://packetstormsecurity.com/files/132511/ManageEngine-Password-Manager-Pro-8.1-SQL-Injection.htmlExploit
- Exploit
- PatchVendor Advisory
Уязвимые конфигурации
EPSS
6.5 Medium
CVSS2
Дефекты
Связанные уязвимости
SQL injection vulnerability in the AdvanceSearch.class in AdventNetPassTrix.jar in ManageEngine Password Manager Pro (PMP) before 8.1 Build 8101 allows remote authenticated users to execute arbitrary SQL commands via the ANDOR parameter, as demonstrated by a request to STATE_ID/1425543888647/SQLAdvancedALSearchResult.cc.
EPSS
6.5 Medium
CVSS2