PT-2021-21639 · Zoho · Zoho Manageengine Desktop Central
Publicado
2021-09-10
·
Atualizado
2021-12-20
·
CVE-2021-37414
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Zoho ManageEngine DesktopCentral anteriores à 10.0.709
Versões do Zoho ManageEngine DesktopCentral anteriores à 10.1.2119.8
Descrição
A vulnerabilidade permite que qualquer pessoa obtenha a chave API (APIKEY) de um usuário válido sem autenticação. Isso afeta o Zoho ManageEngine DesktopCentral, onde um invasor não autenticado pode obter acesso à chave API de um usuário.
Recomendações
Para versões anteriores à 10.0.709, atualize para a versão 10.0.709 ou posterior.
Para versões anteriores à 10.1.2119.8, atualize para a versão 10.1.2119.8 ou posterior.
Como solução alternativa temporária, considere restringir o acesso ao endpoint da API que lida com as chaves API dos usuários até que um patch esteja disponível.
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zoho Manageengine Desktop Central