CVE-2021-37415

CVSS 9.8 CRITICALEPSS 99.9%● KEVCWE-306

En resumen

Zoho ManageEngine ServiceDesk Plus anterior a la versión 11302 tiene una falla que permite a atacantes acceder a ciertas funciones de API REST sin iniciar sesión, pudiendo exponer datos sensibles o permitir acciones no autorizadas.

Detalle técnico

La CWE-306 (Verificación de Autenticación Faltante) permite acceso sin autenticación a endpoints específicos de API REST en ServiceDesk Plus versiones anteriores a 11302. Un atacante puede explotar esto llamando directamente URLs de API afectadas sin credenciales, eludiendo controles de autenticación y obteniendo acceso no autorizado a operaciones sensibles.

Resumen generado y traducido por IA a partir de la descripción oficial.

Zoho ManageEngine ServiceDesk Plus before 11302 is vulnerable to authentication bypass that allows a few REST-API URLs without authentication.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Productos afectados

n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-37415 https://www.manageengine.com https://www.manageengine.com/products/service-desk/on-premises/readme.html#11302