PT-2020-2708 · Zoho · Manageengine Desktop Central
Publicado
2020-05-05
·
Atualizado
2020-05-12
·
CVE-2020-10859
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do ManageEngine Desktop Central anteriores à 10.0.484
Descrição
O problema está relacionado à falta de restrições ao upload de arquivos de tipos não seguros no ManageEngine Desktop Central. Isso pode ser explorado por um invasor remoto para fazer o upload de um arquivo ZIP malicioso especialmente criado, permitindo potencialmente a gravação arbitrária de arquivos durante a extração do arquivo ZIP por meio de traversal de diretório em uma solicitação de API AppDependency manipulada.
Recomendações
Para versões anteriores à 10.0.484, atualize para a versão 10.0.484 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à solicitação da API AppDependency para minimizar o risco de exploração. Evite usar a API AppDependency para enviar arquivos ZIP até que o problema seja resolvido.
Correção
Unrestricted File Upload
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Manageengine Desktop Central