漏洞详情(12000版本)
漏洞1:
不受限制的文件上传:
OpManager在上传到系统之前无法验证或验证文件不正确。这导致攻击者可以上传任意JSP文件并通过上载的文件直接访问来执行它。
漏洞2:
跨站脚本:
OpManager遭受了存储的XSS漏洞困扰。利用群聊中通过未经过清理的“post”参数传递输入,从而使攻击者可以在用户的浏览器会话中执行HTML代码。
漏洞3:
跨站请求伪造:
存在此漏洞的原因是,OpManager在执行某些操作时无法实现anti-csrf令牌。跨站点请求伪造漏洞使无特权的攻击者可以添加或删除OpManager的管理员帐户。
您可以在附件的pdf中查看这些漏洞的完整详细信息。
修正:
在12200 Windows安装上应用12200问题固定更新补丁的步骤。
1. 从下方URL下载12200FixesPatch.zip文件 ,并将其保存在 /OpManager下
2. 停止OpManager服务。
3. 如果存在旧的 /OpManager/12200FixesUpdate 文件夹,请重新命名。
4. 重命名旧的 /OpManager/logs 文件夹并重新创建新的 /OpManager/logs 文件夹
5. 接下来,使用“此处提取”直接在 /OpManager目录下提取下载的 12200FixesPatch .zip,并确保子文件夹/OpManager/12200FixesUpdate存在。
6. 通过将其保存在/OpManager下,下载并执行此批处理文件 12200IssuesUpdt_Dec22.bat文件
7.然后尝试启动OpManager服务并清除浏览器Cookie。
|