CVE-2021-33617

Опубликовано: 31 июл. 2021

Источник: nvd

CVSS3: 5.3

CVSS2: 5

EPSS Низкий

Уязвимость раскрытия информации об именах пользователей в Zoho ManageEngine Password Manager Pro

Описание

Zoho ManageEngine Password Manager Pro содержит уязвимость, связанную с раскрытием информации об именах пользователей. Она позволяет злоумышленнику определить наличие пользователя по особенностям ответа сервера на некорректные попытки входа. Если указано несуществующее имя пользователя, сервер возвращает пустой ответ на запрос login/AjaxResponse.jsp?RequestType=GetUserDomainName&userName=.

Затронутые версии ПО

Zoho ManageEngine Password Manager Pro до версии 11.2 11200

Тип уязвимости

Раскрытие информации

Ссылки

https://herolab.usd.de/security-advisories/usd-2021-0015/
Exploit
Third Party Advisory
https://www.manageengine.com
Vendor Advisory
https://www.manageengine.com/products/passwordmanagerpro/release-notes.html#pmp11200
Release Notes
Vendor Advisory
https://herolab.usd.de/security-advisories/usd-2021-0015/
Exploit
Third Party Advisory
https://www.manageengine.com
Vendor Advisory
https://www.manageengine.com/products/passwordmanagerpro/release-notes.html#pmp11200
Release Notes
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:zohocorp:manageengine_password_manager_pro:*:*:*:*:*:*:*:*

Версия до 11.2 (исключая)

cpe:2.3:a:zohocorp:manageengine_password_manager_pro:11.2:-:*:*:*:*:*:*

EPSS

Процентиль: 65%

0.00483

Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

GHSA-4xv7-7p5x-x8mc

github

больше 3 лет назад

Zoho ManageEngine Password Manager Pro before 11.2 11200 allows login/AjaxResponse.jsp?RequestType=GetUserDomainName&userName= username enumeration, because the response (to a failed login request) is null only when the username is invalid.