← volver
CVE-2020-10189

CVE-2020-10189

CVSS 9.8 CRITICALEPSS 99.9%● KEVCWE-502
En resumen

Zoho ManageEngine Desktop Central anterior a la versión 10.0.474 tiene una falla crítica donde los atacantes pueden ejecutar código malicioso en el servidor enviando solicitudes especialmente preparadas que explotan la deserialización insegura de datos. Esto permite el compromiso completo del sistema afectado sin necesidad de autenticación.

Detalle técnico

Una vulnerabilidad de deserialización en el método getChartImage de la clase FileStorage permite ejecución remota de código sin autenticación a través de los servlets CewolfServlet y MDMLogUploaderServlet. Los atacantes pueden crear objetos Java serializados maliciosos que ejecutan código arbitrario durante la deserialización, resultando en compromiso total del sistema con CVSS 9.8.

Resumen generado y traducido por IA a partir de la descripción oficial.
Zoho ManageEngine Desktop Central before 10.0.474 allows remote code execution because of deserialization of untrusted data in getChartImage in the FileStorage class. This is related to the CewolfServlet and MDMLogUploaderServlet servlets.
CVSS:3.0/AC:L/AV:N/A:H/C:H/I:H/PR:N/S:U/UI:N
Productos afectados
n/a · n/a
PoCs públicas encontradas3
githubgithub.com/zavke/CVE-2020-10189-ManageEngine3cve_referencepacketstormsecurity.com/files/156730/ManageEngine-Desktop-Central-Java-Deserialization.htmlno verificadoexploitdbwww.exploit-db.com/exploits/48224no verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://packetstormsecurity.com/files/156730/ManageEngine-Desktop-Central-Java-Deserialization.htmlhttps://cwe.mitre.org/data/definitions/502.htmlhttps://srcincite.io/advisories/src-2020-0011/https://srcincite.io/pocs/src-2020-0011.py.txthttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-10189https://www.manageengine.com/products/desktop-central/remote-code-execution-vulnerability.htmlhttps://www.zdnet.com/article/zoho-zero-day-published-on-twitter/