Manageengine Remote Access Plus
Уязвимости
14
Эксплуатируемые
1
Макс. CVSS
8.8
Макс. EPSS
0.99753
Распределение по критичности
Критический
0
Высокий
8
Средний
6
Низкий
0
Затронутые диапазоны версий
< 10.0.450< 10.1.2119.1< 10.1.2121.1< 10.1.2132< 10.1.2137.15< 10.1.2228.11< 11.2.2328.01
Также сопоставлено как (исходные строки): manageengine_patch_manager_plus,manageengine_appcreator,manageengine_browser_security_plus,manageengine_mobile_device_manager_plus,manageengine_remote_monitoring_and_management,manageengine_endpoint_central_msp,manageengine_endpoint_dlp_plus,manageengine_os_deployer,manageengine_vulnerability_manager_plus,manageengine_analytics_plus,manageengine_remote_access_plus,manageengine_desktop_central
Топ уязвимостей
CVE-2019-11361Zoho ManageEngine Remote Access Plus 10.0.258 неправильно проверяет разрешения пользователей, что позволяет повысить привилегии и в конечном итоге полностью захватить приложение.
CVE-2022-47966Множественные локальные продукты Zoho ManageEngine, такие как ServiceDesk Plus до версии 14003, позволяют удаленное выполнение кода из-за использования Apache Santuario xmlsec (также известного как XML Security for Java) 1.4.1, потому что функции xmlsec XSLT, по конструкции в этой версии, делают приложение ответственным за определенные меры безопасности, а приложения ManageEngine не предоставляли эти меры защиты. Это затрагивает Access Manager Plus до версии 4308, Active Directory 360 до версии 4310, ADAudit Plus до версии 7081, ADManager Plus до версии 7162, ADSelfService Plus до версии 6211, Analytics Plus до версии 5150, Application Control Plus до версии 10.1.2220.18, Asset Explorer до версии 6983, Browser Security Plus до версии 11.1.2238.6, Device Control Plus до версии 10.1.2220.18, Endpoint Central до версии 10.1.2228.11, Endpoint Central MSP до версии 10.1.2228.11, Endpoint DLP до версии 10.1.2137.6, Key Manager Plus до версии 6401, OS Deployer до версии 1.1.2243.1, PAM 360 до версии 5713, Password Manager Pro до версии 12124, Patch Manager Plus до версии 10.1.2220.18, Remote Access Plus до версии 10.1.2228.11, Remote Monitoring and Management (RMM) до версии 10.1.41, ServiceDesk Plus до версии 14004, ServiceDesk Plus MSP до версии 13001, SupportCenter Plus до версии 11026 и Vulnerability Manager Plus до версии 10.1.2220.18. Эксплуатация возможна только в том случае, если SAML SSO когда-либо был настроен для продукта (для некоторых продуктов эксплуатация требует, чтобы SAML SSO был в настоящее время активен).
CVE-2020-15589Обнаружена проблема проектирования в GetInternetRequestHandle, InternetSendRequestEx и InternetSendRequestByBitrate на стороне клиента Zoho ManageEngine Desktop Central 10.0.552.W и Remote Access Plus до версии 10.1.2119.1. Используя эту проблему, управляемый злоумышленником сервер может заставить клиент пропустить проверку сертификата TLS, что приведет к атаке «человек посередине» против HTTPS и несанкционированному удаленному выполнению кода.
CVE-2021-42955Двоичный файл Windows Desktop Server Zoho Remote Access Plus, исправленный в версии 10.1.2132, подвержен уязвимости несанкционированного сброса пароля. Из-за разработанного механизма сброса пароля любой пользователь Windows, не являющийся администратором, может сбросить пароль учетной записи администратора Remote Access Plus Server.
CVE-2021-42954Двоичный файл Windows Desktop Server Zoho Remote Access Plus, исправленный с версии 10.1.2121.1, подвержен неправильному контролю доступа. Каталог установки уязвим для слабых разрешений файлов, позволяя полный контроль для группы пользователей Windows Everyone (не администраторы или любые гостевые пользователи), что позволяет повысить привилегии, несанкционированный сброс пароля, кражу конфиденциальных данных, доступ к учетным данным в виде открытого текста, доступ к значениям реестра, подделку файлов конфигурации и т. д.
CVE-2021-41829Zoho ManageEngine Remote Access Plus до версии 10.1.2121.1 полагается на номер сборки приложения для вычисления определенного ключа шифрования.
CVE-2021-41828Zoho ManageEngine Remote Access Plus до версии 10.1.2121.1 имеет жестко заданные учетные данные, связанные с resetPWD.xml.
CVE-2021-41827Zoho ManageEngine Remote Access Plus до версии 10.1.2121.1 имеет жестко заданные учетные данные для доступа только для чтения. Учетные данные находятся в исходном коде, который соответствует JAR-архиву DCBackupRestore.
CVE-2023-6105Существует уязвимость раскрытия информации в нескольких продуктах ManageEngine, которая может привести к раскрытию ключей шифрования. Низко привилегированный пользователь ОС с доступом к хосту, на котором установлен затронутый продукт ManageEngine, может увидеть и использовать раскрытый ключ для декодирования паролей базы данных продукта. Это позволяет пользователю получить доступ к базе данных продукта ManageEngine.
CVE-2022-26777Zoho ManageEngine Remote Access Plus версий до 10.1.2137.15 позволяет гостевым пользователям просматривать сведения о лицензии.
CVE-2022-26653Zoho ManageEngine Remote Access Plus до версии 10.1.2137.15 позволяет гостевым пользователям просматривать сведения о домене (такие как имя пользователя и GUID администратора).
CVE-2019-16268Zoho ManageEngine Remote Access Plus 10.0.259 допускает внедрение HTML через поле Description на экране Admin - User Administration userMgmt.do?actionToCall=ShowUser.
CVE-2020-8422Проблема авторизации была обнаружена в функции Credential Manager в Zoho ManageEngine Remote Access Plus до версии 10.0.450. Пользователь с ролью «Гость» может извлечь коллекцию всех определенных учетных данных удаленных машин: имя учетной записи, тип учетной записи, имя пользователя, имя домена/рабочей группы и описание (но не пароль).
CVE-2019-20474Проблема обнаружена в Zoho ManageEngine Remote Access Plus 10.0.447. Служба тестирования конфигурации почтового сервера страдает от проблемы авторизации, позволяющей пользователю с ролью «Гость» (доступ только для чтения) использовать ее и злоупотреблять ею. Одно из злоупотреблений позволяет выполнять операции сканирования сети и портов localhost или хостов в том же сегменте сети, также известное как SSRF.