PT-2020-20194 · Zoho · Zoho Manageengine Desktop Central
Kalimer0X00
·
Publicado
2020-03-11
·
Atualizado
2021-07-21
·
CVE-2020-8540
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Zoho ManageEngine Desktop Central anteriores à atualização de 07 de março de 2020
Descrição
Uma vulnerabilidade permite que usuários remotos não autenticados leiam arquivos arbitrários ou realizem ataques de falsificação de solicitação do lado do servidor (SSRF) por meio de um DTD malicioso em uma solicitação XML. Este problema pode ser explorado para acessar informações confidenciais ou falsificar solicitações para servidores internos.
Recomendações
Para versões anteriores à atualização de 07 de março de 2020, atualize para uma versão lançada após 07 de março de 2020 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a solicitações XML ou desativar a funcionalidade de análise de XML até que um patch esteja disponível.
Correção
SSRF
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Zoho Manageengine Desktop Central