PT-2021-8996 · Zoho · Zoho Manageengine Desktop Central
Publicado
2021-01-06
·
Atualizado
2021-07-21
·
CVE-2019-16962
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Zoho ManageEngine Desktop Central versão 10.0.430
Descrição
A vulnerabilidade permite a injeção de HTML por meio de um campo
Nome do relatório modificado em um Novo relatório personalizado. Isso pode ocorrer quando um usuário cria um novo relatório personalizado e altera o nome do relatório para incluir conteúdo HTML malicioso.Recomendações
Para o Zoho ManageEngine Desktop Central versão 10.0.430, considere validar e sanitizar os dados inseridos pelo usuário no campo
Nome do Relatório em Novos Relatórios Personalizados para evitar ataques de injeção de HTML. Como solução temporária, restrinja a capacidade de criar novos relatórios personalizados ou modificar nomes de relatórios existentes até que uma correção esteja disponível.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zoho Manageengine Desktop Central