Matthew Zellner

**Nome do software vulnerável e versões afetadas** Versões do Zoho ManageEngine Desktop Central anteriores à 10.1.2137.8 **Descrição** A vulnerabilidade permite que o nome do servidor instalado fique exposto a qualquer pessoa, possibilitando a descoberta do nome de host interno por meio da leitura de respostas de redirecionamento HTTP. Isso pode ser feito através da análise do cabeçalho de resposta HTTP “Location”. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. **Recomendações** Para versões anteriores à 10.1.2137.8, atualize para a versão 10.1.2137.8 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint da API `/themes` até que um patch esteja disponível. Evite analisar o cabeçalho de resposta HTTP Location na resposta de redirecionamento HTTP para o endpoint afetado até que o problema seja resolvido.