CVE-2022-23779

Versões do Zoho ManageEngine Desktop Central anteriores à 10.1.2137.8

A vulnerabilidade permite que o nome do servidor instalado fique exposto a qualquer pessoa, possibilitando a descoberta do nome de host interno por meio da leitura de respostas de redirecionamento HTTP. Isso pode ser feito através da análise do cabeçalho de resposta HTTP “Location”. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado.

Para versões anteriores à 10.1.2137.8, atualize para a versão 10.1.2137.8 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint da API /themes até que um patch esteja disponível. Evite analisar o cabeçalho de resposta HTTP Location na resposta de redirecionamento HTTP para o endpoint afetado até que o problema seja resolvido.