Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-01121

Опубликовано: 20 янв. 2022
Источник: fstec
CVSS3: 9.6
CVSS2: 9
EPSS Низкий

Описание

Уязвимость компонента AgentLogUploadServlet программного средства для управления рабочими местами через web-интерфейс ManageEngine Desktop Central и средства удаленного мониторинга и управления настольными ПК, серверами, ноутбуками и мобильными устройствами ManageEngine Endpoint Central MSP (ранее ManageEngine Desktop Central MSP) связана с неверным ограничением имени пути к каталогу с ограниченным доступом при обработке параметра computerName. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и выполнить произвольный код

Вендор

ZOHO Corp.

Наименование ПО

ManageEngine Desktop Central
ManageEngine Endpoint Central MSP

Версия ПО

до 10.1.2137.2 (ManageEngine Desktop Central)
до 10.1.2137.2 (ManageEngine Endpoint Central MSP)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,6)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://srcincite.io/blog/2022/01/20/zohowned-a-critical-authentication-bypass-on-zoho-manageengine-desktop-central.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 82%
0.01703
Низкий

9.6 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-48362

CVSS3: 8.8
nvd
почти 3 года назад

Zoho ManageEngine Desktop Central and Desktop Central MSP before 10.1.2137.2 allow directory traversal via computerName to AgentLogUploadServlet. A remote, authenticated attacker could upload arbitrary code that would be executed when Desktop Central is restarted. (The attacker could authenticate by exploiting CVE-2021-44515.)

github логотип

GHSA-4g2p-qp5f-9gmj

CVSS3: 8.8
github
почти 3 года назад

Zoho ManageEngine Desktop Central and Desktop Central MSP before 10.1.2137.2 allow directory traversal via computerName to AgentLogUploadServlet. A remote, authenticated attacker could upload arbitrary code that would be executed when Desktop Central is restarted. (The attacker could authenticate by exploiting CVE-2021-44515.)

EPSS

Процентиль: 82%
0.01703
Низкий

9.6 Critical

CVSS3

9 Critical

CVSS2