← volver
CVE-2021-44077

CVE-2021-44077

CVSS 9.8 CRITICALEPSS 93.5%● KEVCWE-306
En resumen

Zoho ManageEngine ServiceDesk Plus y productos relacionados permiten que atacantes ejecuten código malicioso en el servidor sin necesidad de iniciar sesión. Esto ocurre por un defecto en cómo la aplicación maneja solicitudes de API REST, poniendo en riesgo grave todos los datos.

Detalle técnico

Existe una vulnerabilidad de ejecución remota de código no autenticada en el endpoint /RestAPI del servlet debido a controles de acceso inadecuados en la configuración de Struts, específicamente en la acción ImportTechnicians. Un atacante puede explotarla sin autenticación para ejecutar código arbitrario con privilegios del servidor, afectando ServiceDesk Plus (<11306), ServiceDesk Plus MSP (<10530) y SupportCenter Plus (<11014).

Resumen generado y traducido por IA a partir de la descripción oficial.
Zoho ManageEngine ServiceDesk Plus before 11306, ServiceDesk Plus MSP before 10530, and SupportCenter Plus before 11014 are vulnerable to unauthenticated remote code execution. This is related to /RestAPI URLs in a servlet, and ImportTechnicians in the Struts configuration.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a
PoCs públicas encontradas3
githubgithub.com/horizon3ai/CVE-2021-4407736githubgithub.com/pizza-power/Golang-CVE-2021-44077-POC2cve_referencepacketstormsecurity.com/files/165400/ManageEngine-ServiceDesk-Plus-Remote-Code-Execution.htmlno verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://packetstormsecurity.com/files/165400/ManageEngine-ServiceDesk-Plus-Remote-Code-Execution.htmlhttps://pitstop.manageengine.com/portal/en/community/topic/security-advisory-authentication-bypass-vulnerability-in-servicedesk-plus-versions-11138-and-abovehttps://pitstop.manageengine.com/portal/en/community/topic/security-advisory-for-cve-2021-44077-unauthenticated-rce-vulnerability-in-servicedesk-plus-msp-versions-10527-till-10529https://pitstop.manageengine.com/portal/en/community/topic/security-advisory-for-cve-2021-44077-unauthenticated-rce-vulnerability-in-servicedesk-plus-versions-up-to-11305-22-11-2021https://pitstop.manageengine.com/portal/en/community/topic/security-advisory-for-cve-2021-44077-unauthenticated-rce-vulnerability-in-supportcenter-plus-versions-11012-and-11013https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-44077