Manageengine Applications Manager
Уязвимости
56
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.9881
Распределение по критичности
Критический
19
Высокий
18
Средний
19
Низкий
0
Затронутые диапазоны версий
11.0–14.012.0–14.012.0–14.215.0–15.516.0–16.317.4–17.7< 13.13820< 13.6< 13.7< 14.0< 14.5< 14.6< 14.9< 15.1< 16.3< 16.5< 16.8< 17.0< 17.6≤ 11.9≤ 13≤ 13.0
Также сопоставлено как (исходные строки): manageengine_applications_manager,manageengine_it360,manageengine_opmanager
Топ уязвимостей
CVE-2020-27995SQL-инъекция в Zoho ManageEngine Applications Manager 14 до версии 14560 позволяет злоумышленнику выполнять команды на сервере через параметр template_resid MyPage.do.
CVE-2020-24743В /showReports.do Zoho ManageEngine Applications Manager до версии 14550 обнаружена проблема, позволяющая злоумышленникам получить повышенные привилегии через параметр resourceid.
CVE-2020-15533В Zoho ManageEngine Application Manager 14.7 Build 14730 (до 14684 и между 14689 и 14750) модуль AlarmEscalation уязвим для неаутентифицированной атаки SQL-инъекции.
CVE-2020-15394REST API в Zoho ManageEngine Applications Manager до сборки 14740 допускает не прошедшую проверку подлинности SQL-инъекцию через специально созданный запрос, что приводит к удаленному выполнению кода.
CVE-2019-19649Zoho ManageEngine Applications Manager до версии 13620 допускает удаленную не прошедшую проверку подлинности SQL-инъекцию через параметр eventid SyncEventServlet в функцию SyncEventServlet.java doGet.
CVE-2019-11469Zoho ManageEngine Applications Manager 12 по 14 допускает SQL-инъекцию FaultTemplateOptions.jsp resourceid. Впоследствии не прошедший проверку подлинности пользователь может получить права SYSTEM на сервере, загрузив вредоносный файл с помощью функции «Execute Program Action(s)».
CVE-2019-11448В Zoho ManageEngine Applications Manager 11.0 по 14.0 обнаружена проблема. Не прошедший проверку подлинности пользователь может получить права SYSTEM на сервере из-за уязвимости SQL-инъекции Popup_SLA.jsp sid. Например, злоумышленник может впоследствии записать произвольный текст в файл .vbs.
CVE-2018-7890Проблема удаленного выполнения кода была обнаружена в Zoho ManageEngine Applications Manager до 13.6 (сборка 13640). Общедоступная конечная точка testCredential.do принимает несколько пользовательских вводов и проверяет предоставленные учетные данные путем доступа к указанной системе. Эта конечная точка вызывает несколько внутренних классов, а затем выполняет скрипт PowerShell. Если указанной системой является OfficeSharePointServer, то параметры имени пользователя и пароля для этого скрипта не проверяются, что приводит к внедрению команд.
CVE-2018-15168Уязвимость SQL-инъекции существует в Zoho ManageEngine Applications Manager 13 до сборки 13820 через параметр resids в GET-запросе /editDisplaynames.do?method=editDisplaynames.
CVE-2018-13050Уязвимость SQL-инъекции существует в Zoho ManageEngine Applications Manager 13.x до сборки 13800 через параметр j_username в POST-запросе /j_security_check.
CVE-2017-16851Zoho ManageEngine Applications Manager 13 до сборки 13530 допускает SQL-инъекцию через параметр /MyPage.do widgetid.
CVE-2017-16850Zoho ManageEngine Applications Manager 13 до сборки 13530 допускает SQL-инъекцию через параметр /showresource.do resourceid в действии getResourceProfiles.
CVE-2017-16849Zoho ManageEngine Applications Manager 13 до сборки 13530 допускает SQL-инъекцию через параметр /MyPage.do?method=viewDashBoard forpage.
CVE-2017-16848Zoho ManageEngine Applications Manager 13 допускает SQL-инъекцию через параметр /manageConfMons.do groupname.
CVE-2017-16847Zoho ManageEngine Applications Manager 13 до сборки 13530 допускает SQL-инъекцию через параметр /showresource.do resourceid в действии showPlasmaView.
CVE-2017-16846Zoho ManageEngine Applications Manager 13 до сборки 13530 допускает SQL-инъекцию через параметр /manageApplications.do?method=AddSubGroup haid.
CVE-2017-16543Zoho ManageEngine Applications Manager 13 до сборки 13500 допускает SQL-инъекцию через GraphicalView.do, как продемонстрировано специально созданным полем viewProps yCanvas или параметром viewid.
CVE-2016-9498ManageEngine Applications Manager 12 и 13 до сборки 13200 позволяют десериализацию небезопасных объектов Java. Уязвимость может быть использована удаленным пользователем без аутентификации и позволяет выполнять удаленный код, ставя под угрозу приложение, а также операционную систему. Поскольку реестр RMI Application Manager работает с привилегиями системного администратора, используя эту уязвимость, злоумышленник получает самые высокие привилегии в базовой операционной системе.
CVE-2018-11808Некорректное управление доступом в CustomFieldsFeedServlet в Zoho ManageEngine Applications Manager версии 13 до сборки 13740 позволяет злоумышленнику удалять любые файлы и читать определенные файлы на сервере в контексте пользователя (который по умолчанию является "NT AUTHORITY / SYSTEM"), отправляя специально созданный запрос на сервер.
CVE-2020-35765doFilter в com.adventnet.appmanager.filter.UriCollector в Zoho ManageEngine Applications Manager до версии 14930 включительно допускает SQL-инъекцию через параметр resourceid в showresource.do.
CVE-2020-28679Уязвимость SQL-инъекции в модуле showReports Zoho ManageEngine Applications Manager до сборки 14550 позволяет аутентифицированным злоумышленникам выполнять SQL-инъекцию через специально созданный запрос.
CVE-2020-27733Zoho ManageEngine Applications Manager до 14 сборки 14880 допускает SQL-инъекцию с аутентификацией через специально созданный запрос Alarmview.
CVE-2020-16267Zoho ManageEngine Applications Manager версии 14740 и более ранних версий допускает SQL-инъекцию с аутентификацией через специально созданный jsp-запрос в модуле RCA.
CVE-2020-15927Zoho ManageEngine Applications Manager версии 14740 и более ранних версий допускает аутентифицированную SQL-инъекцию через специально созданный jsp-запрос в модуле SAP.
CVE-2019-19650Zoho ManageEngine Applications Manager до версии 13640 допускает удаленную прошедшую проверку подлинности SQL-инъекцию через параметр agentid сервлета Agent в функцию Agent.java process.