Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

MĂșltiples vulnerabilidades en ManageEngine Desktop Central

In Noticias y Avisos CiberseguridadPosted
MĂșltiples vulnerabilidades en ManageEngine Desktop Central

Aviso
Recursos Afectados

Desktop Central, versiĂłn 9.1.0.

DescripciĂłn

INCIBE ha coordinado la publicaciĂłn de 3 vulnerabilidades que afectan a ManageEngine Desktop Central 9.1.0, las cuales han sido descubiertas por Rafael Pedrero.

A estas vulnerabilidades se les han asignado los siguientes cĂłdigos, puntuaciĂłn base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2023-4767: CVSS v3.1: 6.1 | CVSS: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-93.
  • CVE-2023-4768: CVSS v3.1: 6.1 | CVSS: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-93.
  • CVE-2023-4769: CVSS v3.1: 6.6 | CVSS: AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H | CWE-918.
3 – Media
SoluciĂłn

Las vulnerabilidades han sido corregidas en la Ășltima versiĂłn de Desktop Central.

Detalle
  • CVE-2023-4767: se ha encontrado una vulnerabilidad de inyecciĂłn CRLF en ManageEngine Desktop Central que afecta a la versiĂłn 9.1.0. Esta vulnerabilidad podrĂ­a permitir a un atacante remoto inyectar cabeceras HTTP arbitrarias y realizar ataques de divisiĂłn de respuesta HTTP a travĂ©s del parĂĄmetro fileName en /STATE_ID/1613157927228/InvSWMetering.csv.
  • CVE-2023-4768: se ha encontrado una vulnerabilidad de inyecciĂłn CRLF en ManageEngine Desktop Central que afecta a la versiĂłn 9.1.0. Esta vulnerabilidad podrĂ­a permitir a un atacante remoto inyectar cabeceras HTTP arbitrarias y realizar ataques de divisiĂłn de respuesta HTTP a travĂ©s del parĂĄmetro fileName en /STATE_ID/1613157927228/InvSWMetering.pdf.
  • CVE-2023-4769: se ha encontrado una vulnerabilidad SSRF en ManageEngine Desktop Central que afecta a la versiĂłn 9.1.0, concretamente al componente /smtpConfig.do. Esta vulnerabilidad podrĂ­a permitir a un atacante autenticado lanzar ataques especĂ­ficos, como un ataque de puerto cruzado, enumeraciĂłn de servicios y otros ataques a travĂ©s de peticiones HTTP.
Listado de referencias
ManageEngine Desktop Central

Etiquetas

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.