PT-2020-14514 · Zoho · Zoho Manageengine Desktop Central
Pat0Is
·
Publicado
2020-07-29
·
Atualizado
2022-04-28
·
CVE-2020-15588
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Zoho ManageEngine Desktop Central versão 10.0.552.W
Descrição
Uma falha no lado do cliente do software permite que um servidor controlado por um invasor provoque um estouro de inteiro nas funções
InternetSendRequestEx e InternetSendRequestByBitrate, levando a um estouro de buffer baseado em heap e à execução remota de código com privilégios de SISTEMA. Isso ocorre quando uma comunicação não confiável é iniciada com um servidor.Recomendações
Para o Zoho ManageEngine Desktop Central versão 10.0.552.W, considere restringir a comunicação não confiável com servidores para minimizar o risco de exploração. Como solução alternativa temporária, certifique-se de que os agentes se conectem apenas por meio de comunicação confiável. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Integer Overflow
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Zoho Manageengine Desktop Central