PT-2022-6690 · Zoho · Manageengine Opmanager
Icewall
+1
·
Publicado
2022-12-28
·
Atualizado
2023-04-05
·
CVE-2022-43473
CVSS v3.1
5.8
Média
| Vetor | AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
ManageEngine OpManager versão 12.6.168
Descrição
Existe uma vulnerabilidade de Entidade Externa XML (XXE) cega na funcionalidade “Adicionar Dispositivo UCS”. Esse problema está relacionado à restrição incorreta de links XML para objetos externos. A exploração dessa vulnerabilidade pode permitir que um invasor remoto execute um ataque de Falsificação de Solicitação do Lado do Servidor (SSRF). Um arquivo XML especialmente criado pode levar a um SSRF. Um invasor pode enviar uma carga XML maliciosa para acionar essa vulnerabilidade.
Recomendações
Para o ManageEngine OpManager versão 12.6.168, considere desativar a funcionalidade
Adicionar dispositivo UCS até que um patch esteja disponível para prevenir possíveis ataques SSRF. Restrinja o acesso à funcionalidade vulnerável para minimizar o risco de exploração. Evite usar arquivos XML maliciosos na funcionalidade afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Manageengine Opmanager