PT-2020-7580 · Manageengine · Zoho Manageengine Desktop Central
Thomas Hibbert
·
Publicado
2020-01-27
·
Atualizado
2020-02-05
·
CVE-2013-7390
CVSS v2.0
7.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
ManageEngine DesktopCentral, versões 7.x a 8.0.0 anteriores à compilação 80293
Descrição
A vulnerabilidade permite que invasores remotos executem código arbitrário ao enviar um arquivo com extensão
.jsp e, em seguida, acessá-lo por meio de uma solicitação direta ao arquivo na raiz da web. Isso se deve a uma vulnerabilidade de envio de arquivos sem restrições no AgentLogUploadServlet.Recomendações
Para as versões 7.x a 8.0.0 do ManageEngine DesktopCentral anteriores à compilação 80293, atualize para uma versão que inclua a compilação 80293 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao
AgentLogUploadServlet para minimizar o risco de exploração. Evite permitir uploads de arquivos com extensão .jsp até que o problema seja resolvido.Exploit
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zoho Manageengine Desktop Central