PT-2015-6785 · Zoho · Zoho Manageengine Supportcenter Plus

Alain Homewood

Publicado

2015-06-30

Atualizado

2015-07-01

CVE-2015-5150

CVSS v2.0

3.5

Baixa

Vetor

AV:N/AC:M/Au:S/C:N/I:P/A:N

Name of the Vulnerable Software and Affected Versions Zoho ManageEngine SupportCenter Plus version 7.90

Description The issue allows remote authenticated users to inject arbitrary web script or HTML. This can be achieved via the query parameter in the "run query editor query" module to "CustomReportHandler.do", the compAcct parameter to "jsp/ResetADPwd.jsp", or the redirectTo parameter to "jsp/CacheScreenWidth.jsp".

Recommendations For Zoho ManageEngine SupportCenter Plus version 7.90, consider disabling access to the "run query editor query" module, restricting the use of the compAcct parameter in "jsp/ResetADPwd.jsp", and limiting access to the redirectTo parameter in "jsp/CacheScreenWidth.jsp" until a patch is available.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

CVE-2015-5150

Produtos afetados

Zoho Manageengine Supportcenter Plus

PT-2015-6785 · Zoho · Zoho Manageengine Supportcenter Plus

CVE-2015-5150

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 4