CVE-2020-11531

Versões do Zoho ManageEngine DataSecurity Plus anteriores à 6.0.1

O problema decorre da falta de validação do nome do esquema do banco de dados ao processar uma solicitação DR-SCHEMA-SYNC no aplicativo DataEngine Xnode Server. Isso permite que um invasor autenticado execute código no contexto do produto, gravando um arquivo JSP no diretório raiz da web por meio de traversal de diretório.

Para versões anteriores à 6.0.1, atualize para a versão 6.0.1 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao manipulador de solicitações DR-SCHEMA-SYNC para minimizar o risco de exploração.