← voltar
CVE-2019-8394

CVE-2019-8394

CVSS 7.5 HIGHEPSS 64.1%● KEVCWE-434
Em resumo

O Zoho ManageEngine ServiceDesk Plus anterior à versão 10.0 build 10012 permite que atacantes façam upload de qualquer arquivo através da funcionalidade de personalização da página de login. Isso pode resultar em execução de código malicioso no servidor.

Detalhe técnico

Vulnerabilidade CWE-434 de upload de arquivo sem restrições na funcionalidade de personalização da página de login permite que atacantes remotos façam upload de arquivos arbitrários sem validação apropriada. A exploração bem-sucedida possibilita execução remota de código com privilégios do serviço afetado.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Zoho ManageEngine ServiceDesk Plus (SDP) before 10.0 build 10012 allows remote attackers to upload arbitrary files via login page customization.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Produtos afetados
n/a · n/a
PoCs públicas encontradas2
cve_referencewww.exploit-db.com/exploits/46413/não verificadoexploitdbwww.exploit-db.com/exploits/46413não verificado
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2019-8394https://www.exploit-db.com/exploits/46413/https://www.manageengine.com/products/service-desk/readme.htmlhttp://www.securityfocus.com/bid/107129