PT-2024-5294 · Zoho · Zoho Manageengine Servicedesk Plus+1
Fabrizio
·
Publicado
2024-05-25
·
Atualizado
2024-07-03
·
CVE-2024-27314
CVSS v2.0
4.0
Média
| Vetor | AV:N/AC:L/Au:S/C:N/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões do Zoho ManageEngine ServiceDesk Plus anteriores à 14730
Versões do Zoho ManageEngine ServiceDesk Plus MSP anteriores à 14720
Versões do Zoho ManageEngine SupportCenter Plus anteriores à 14720
Descrição
A vulnerabilidade existe no componente Ações Personalizadas dos softwares Zoho ManageEngine ServiceDesk Plus, ServiceDesk Plus MSP e SupportCenter Plus devido à proteção inadequada da estrutura da página da web. Esse problema pode ser explorado por invasores remotos para realizar um ataque de script entre sites (XSS) armazenado, especificamente no menu Ações Personalizadas nos detalhes da solicitação. A vulnerabilidade só pode ser explorada por usuários com a função SDAdmin.
Recomendações
Para versões do Zoho ManageEngine ServiceDesk Plus anteriores à 14730, atualize para uma versão posterior à 14730 para resolver o problema.
Para versões do Zoho ManageEngine ServiceDesk Plus MSP anteriores à 14720, atualize para uma versão posterior à 14720 para resolver o problema.
Para versões do Zoho ManageEngine SupportCenter Plus anteriores à 14720, atualize para uma versão posterior à 14720 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao menu Ações Personalizadas para usuários com a função SDAdmin até que um patch esteja disponível.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zoho Manageengine Servicedesk Plus
Zoho Manageengine Supportcenter Plus