Уязвимость отсутствия защиты от CSRF атак в Zoho ManageEngine Password Manager Pro, позволяющая изменять роль пользователя
Описание
Zoho ManageEngine Password Manager Pro до версии 10.4 не имеет защиты от CSRF атак, что способен использовать злоумышленник для изменения роли пользователя.
Затронутые версии ПО
- Zoho ManageEngine Password Manager Pro 10.4 и более ранние версии
Тип уязвимости
Межсайтовая подделка запроса (CSRF)
Ссылки
- Third Party Advisory
- Issue TrackingVendor Advisory
- Third Party Advisory
- Issue TrackingVendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 10.4 (исключая)
Одно из
cpe:2.3:a:zohocorp:manageengine_password_manager_pro:*:*:*:*:*:*:*:*
cpe:2.3:a:zohocorp:manageengine_password_manager_pro:10.4:-:*:*:*:*:*:*
cpe:2.3:a:zohocorp:manageengine_password_manager_pro:10.4:build10400:*:*:*:*:*:*
cpe:2.3:a:zohocorp:manageengine_password_manager_pro:10.4:build10401:*:*:*:*:*:*
cpe:2.3:a:zohocorp:manageengine_password_manager_pro:10.4:build10402:*:*:*:*:*:*
EPSS
Процентиль: 65%
0.00484
Низкий
8.8 High
CVSS3
6.8 Medium
CVSS2
Дефекты
CWE-352
Связанные уязвимости
CVSS3: 8.8
github
больше 3 лет назад
Zoho ManageEngine Password Manager Pro 10.4 and prior has no protection against Cross-site Request Forgery (CSRF) attacks, as demonstrated by changing a user's role.
EPSS
Процентиль: 65%
0.00484
Низкий
8.8 High
CVSS3
6.8 Medium
CVSS2
Дефекты
CWE-352