CVE-2021-27214

**Nome do software vulnerável e versões afetadas:

Zoho ManageEngine ADSelfService Plus, versões até a 6013

Descrição:

Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) no servlet ProductConfig permite que um invasor remoto não autenticado execute solicitações HTTP cegas ou realize um ataque de script entre sites (XSS) contra a interface administrativa por meio de uma solicitação HTTP.

Recomendações:

Para versões até a 6013, considere restringir o acesso ao servlet ProductConfig para minimizar o risco de exploração. Como solução temporária, limite a capacidade de realizar solicitações HTTP a partir da interface administrativa até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.