CVE-2019-8394

Опубликовано: 17 фев. 2019

Источник: nvd

CVSS3: 6.5

CVSS3: 7.5

CVSS2: 4

EPSS Высокий

Описание

Zoho ManageEngine ServiceDesk Plus (SDP) before 10.0 build 10012 allows remote attackers to upload arbitrary files via login page customization.

Ссылки

http://www.securityfocus.com/bid/107129
Third Party Advisory
VDB Entry
https://www.exploit-db.com/exploits/46413/
Exploit
Third Party Advisory
VDB Entry
https://www.manageengine.com/products/service-desk/readme.html
Release Notes
Vendor Advisory
http://www.securityfocus.com/bid/107129
Third Party Advisory
VDB Entry
https://www.exploit-db.com/exploits/46413/
Exploit
Third Party Advisory
VDB Entry
https://www.manageengine.com/products/service-desk/readme.html
Release Notes
Vendor Advisory
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2019-8394
US Government Resource

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:zohocorp:manageengine_servicedesk_plus:*:*:*:*:*:*:*:*

Версия до 10.0.0 (исключая)

cpe:2.3:a:zohocorp:manageengine_servicedesk_plus:10.0.0:-:*:*:*:*:*:*

cpe:2.3:a:zohocorp:manageengine_servicedesk_plus:10.0.0:10000:*:*:*:*:*:*

cpe:2.3:a:zohocorp:manageengine_servicedesk_plus:10.0.0:10001:*:*:*:*:*:*

cpe:2.3:a:zohocorp:manageengine_servicedesk_plus:10.0.0:10002:*:*:*:*:*:*

cpe:2.3:a:zohocorp:manageengine_servicedesk_plus:10.0.0:10003:*:*:*:*:*:*

cpe:2.3:a:zohocorp:manageengine_servicedesk_plus:10.0.0:10004:*:*:*:*:*:*

cpe:2.3:a:zohocorp:manageengine_servicedesk_plus:10.0.0:10005:*:*:*:*:*:*

cpe:2.3:a:zohocorp:manageengine_servicedesk_plus:10.0.0:10006:*:*:*:*:*:*

cpe:2.3:a:zohocorp:manageengine_servicedesk_plus:10.0.0:10007:*:*:*:*:*:*

cpe:2.3:a:zohocorp:manageengine_servicedesk_plus:10.0.0:10008:*:*:*:*:*:*

cpe:2.3:a:zohocorp:manageengine_servicedesk_plus:10.0.0:10009:*:*:*:*:*:*

cpe:2.3:a:zohocorp:manageengine_servicedesk_plus:10.0.0:10010:*:*:*:*:*:*

cpe:2.3:a:zohocorp:manageengine_servicedesk_plus:10.0.0:10011:*:*:*:*:*:*

EPSS

Процентиль: 99%

0.87276

Высокий

6.5 Medium

CVSS3

7.5 High

CVSS3

4 Medium

CVSS2

Дефекты

CWE-434

Связанные уязвимости

GHSA-grv7-685f-m26h

CVSS3: 6.5

github

больше 3 лет назад

Zoho ManageEngine ServiceDesk Plus (SDP) before 10.0 build 10012 allows remote attackers to upload arbitrary files via login page customization.

BDU:2020-02112

CVSS3: 6.5

fstec

почти 7 лет назад

Уязвимость программного средства для службы ИТ-поддержки Zoho ManageEngine ServiceDesk Plus, связанная с отсутствием ограничений на загрузку файлов, позволяющая нарушителю загружать произвольные файлы

EPSS

Процентиль: 99%

0.87276

Высокий

6.5 Medium

CVSS3

7.5 High

CVSS3

4 Medium

CVSS2

Дефекты

CWE-434