PT-2021-13793 · Manageengine · Manageengine Log360
Publicado
2021-11-01
·
Atualizado
2022-07-12
·
CVE-2021-20136
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Versões do ManageEngine Log360 anteriores à 5235
Descrição:
O problema está relacionado a um controle de acesso inadequado, permitindo que um invasor remoto não autenticado envie uma mensagem especialmente criada para substituir o banco de dados de back-end por um controlado pelo invasor e forçar uma reinicialização. Isso pode ser explorado para a execução remota de código, substituindo arquivos executados na inicialização.
Recomendações:
Para versões anteriores à 5235, atualize para a versão 5235 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à configuração do banco de dados para minimizar o risco de exploração.
Exploit
Correção
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Manageengine Log360