ManageEngine Asset Explorer 未授权信息泄露漏洞 (CVE-2022-25245)

漏洞关键信息 CVE编号: CVE-2022-25245 漏洞类型: ManageEngine Asset Explorer 信息泄露 受影响版本: Manage Engine Asset Explorer Plus 6.9 Build 6970 修复措施: 升级至 ManageEngine Asset Explorer Version 6.9 Build 6971 或更高版本 漏洞严重性: 较低，仅泄露当前供应商使用的货币信息，但可能推断其他信息如供应商位置 证明概念 信息泄露发生在 AjaxDomainServlet 中，当请求的动作是 且无需认证时，可获取供应商货币： 如果供应商无指定货币，返回美元符号；否则返回供应商具体货币标识。 披露时间线 2022年2月14日 - 向 Zoho 报告漏洞 2022年2月15日 - Zoho 开始调查 2022年2月16日 - 漏洞编号 CVE-2022-25245 被分配 2022年3月9日 - Zoho 发布修复版本 6.9 Build 6971 相关链接 MITRE CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25245 NVD: https://nvd.nist.gov/vuln/detail/CVE-2022-25245

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

ManageEngine Asset Explorer 未授权信息泄露漏洞 (CVE-2022-25245)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！