暴露了AirWatch用户提供的详细输入的安全漏洞

米瑞希
导读 《空中观察》 (Air Watch)与编程书籍中最古老的技能之一相冲突:信任用户提供的输入。因此,恶意用户可以使用Air Watch云访问其他客

《空中观察》 (Air Watch)与编程书籍中最古老的技能之一相冲突:信任用户提供的输入。

因此,恶意用户可以使用Air Watch云访问其他客户的信息,并下载属于其他客户的应用程序。

新西兰安全公司Security-Assessment.com(SA)在描述此漏洞的咨询(PD F)中表示,已于10月29日通知VMware此问题,并于12月10日发布补丁。

SA表示,“发现Air Watch云控制台使用整数来指代各种对象。”可以根据用户提供的输入直接访问这些对象。

通过操纵GET变量,SA研究员DenisAndzakovic可以枚举属于其他客户的信息,包括智能组、信誉扫描和私有应用程序。

Ann Dzakovic还发现,一旦找到应用程序ID,可能会触发在终端设备上安装另一个客户的私有应用程序。

虽然Air Watch云上个月已经打了补丁,但是还没有升级到Air Watch 7 . 3 . 3 . 0版本的本地用户仍然容易受到攻击。

去年这个时候,Air Watch被VMware以15.4亿美元收购。

标签:

免责声明:本文由用户上传,如有侵权请联系删除!