nvd,anchore_overrides
Zohocorp
Уязвимости
554
Эксплуатируемые
9
Критический
142
Высокий
188
Топ продуктов
Manageengine Applications Manager56Manageengine Opmanager56Manageengine Admanager Plus53Manageengine Adaudit Plus52Manageengine Adselfservice Plus51Manageengine Servicedesk Plus50Manageengine Desktop Central48Manageengine Supportcenter Plus31Manageengine Exchange Reporter Plus28Manageengine Netflow Analyzer28Manageengine Assetexplorer26Manageengine Servicedesk Plus Msp26Manageengine Password Manager Pro22Manageengine Eventlog Analyzer19Manageengine Network Configuration Manager14Manageengine Pam36014Manageengine Remote Access Plus14Manageengine Firewall Analyzer12Manageengine Access Manager Plus11Manageengine It3609
Топ уязвимостей
CVE-2019-3905Zoho ManageEngine ADSelfService Plus 5.x до сборки 5703 имеет SSRF.
CVE-2017-7213Zoho ManageEngine Desktop Central до сборки 100082 позволяет удаленным злоумышленникам получить контроль над всеми подключенными активными настольными компьютерами через неуказанные векторы.
CVE-2014-9371NativeAppServlet в ManageEngine Desktop Central MSP до версии 90075 позволяет удаленным злоумышленникам выполнять произвольный код через специально созданный объект JSON.
CVE-2024-5471Zohocorp ManageEngine DDI Central версий 4001 и более ранних были уязвимы для захвата агента из-за жестко закодированных конфиденциальных ключей.
CVE-2023-48793Zoho ManageEngine ADAudit Plus до версии 7250 допускает SQL-инъекции в функции агрегированного отчета.
CVE-2023-48792Zoho ManageEngine ADAudit Plus до версии 7250 уязвим для SQL-инъекций в опции экспорта отчетов.
CVE-2023-35854Zoho ManageEngine ADSelfService Plus до версии 6113 имеет обход аутентификации, который можно использовать для кражи токена сеанса контроллера домена для подмены идентификации, тем самым получая привилегии администратора контроллера домена. ПРИМЕЧАНИЕ: точка зрения поставщика заключается в том, что он "не нашел никаких доказательств или подробностей уязвимости безопасности".
CVE-2023-23076Уязвимость внедрения ОС-команд в Support Center Plus 11 через Executor в Action при создании новых расписаний.
CVE-2022-47523Zoho ManageEngine Access Manager Plus до версии 4309, Password Manager Pro до версии 12210 и PAM360 до версии 5801 уязвимы для SQL-инъекций.
CVE-2022-43672Zoho ManageEngine Password Manager Pro до 12122, PAM360 до 5711 и Access Manager Plus до 4306 допускают SQL-инъекции (в другом компоненте программного обеспечения по сравнению с CVE-2022-43671).
CVE-2022-43671Zoho ManageEngine Password Manager Pro до 12122, PAM360 до 5711 и Access Manager Plus до 4306 допускают SQL-инъекции.
CVE-2022-40300Zoho ManageEngine Password Manager Pro до версии 12120 до 12121, PAM360 до версии 5550 до 5600 и Access Manager Plus до версии 4304 до 4305 имеют несколько уязвимостей SQL-инъекций.
CVE-2022-36412В Zoho ManageEngine SupportCenter Plus до 11023 API-запросы V3 уязвимы для обхода аутентификации. (API-запрос может, по сути, выполняться с учетными данными пользователя, который прошел аутентификацию в прошлом.)
CVE-2022-35405Zoho ManageEngine Password Manager Pro до 12101 и PAM360 до 5510 уязвимы для неаутентифицированного удаленного выполнения кода. (Это также затрагивает ManageEngine Access Manager Plus до 4303 с аутентификацией.)
CVE-2022-29535Zoho ManageEngine OPManager до версии 125588 допускает SQL-инъекции через несколько отчетов по умолчанию.
CVE-2022-29081Zoho ManageEngine Access Manager Plus до версии 4302, Password Manager Pro до версии 12007 и PAM360 до версии 5401 уязвимы для обхода контроля доступа на нескольких URL-адресах Rest API (для SSOutAction. SSLAction. LicenseMgr. GetProductDetails. GetDashboard. FetchEvents. и Synchronize) через подстроку ../RestAPI.
CVE-2022-28219Cewolf в Zoho ManageEngine ADAudit Plus до 7060 уязвим для не прошедшей проверку подлинности XXE-атаки, которая приводит к удаленному выполнению кода.
CVE-2022-24306Zoho ManageEngine SharePoint Manager Plus до версии 4329 допускает захват учетной записи из-за неправильной обработки авторизации.
CVE-2022-24305Zoho ManageEngine SharePoint Manager Plus до версии 4329 уязвим для утечки конфиденциальных данных, что приводит к повышению привилегий.
CVE-2021-44676Zoho ManageEngine Access Manager Plus до версии 4203 позволяет любому просматривать несколько элементов данных (например, сведения об управлении доступом) и изменять несколько аспектов состояния приложения.
CVE-2021-44675Zoho ManageEngine ServiceDesk Plus MSP до версии 10.5 Build 10534 уязвим для несанкционированного удаленного выполнения кода из-за обхода фильтра, в котором не требуется аутентификация.
CVE-2021-44526Zoho ManageEngine ServiceDesk Plus до 12003 позволяет обойти аутентификацию в определенных конфигурациях администратора.
CVE-2021-44525Zoho ManageEngine PAM360 до сборки 5303 позволяет злоумышленникам изменять некоторые аспекты состояния приложения из-за обхода фильтра, в котором не требуется аутентификация.
CVE-2021-44515Zoho ManageEngine Desktop Central уязвим для обхода аутентификации, что приводит к удаленному выполнению кода на сервере, что и было использовано в реальных условиях в декабре 2021 года. Для Enterprise-сборок 10.1.2127.17 и более ранних версий выполните обновление до 10.1.2127.18. Для Enterprise-сборок с 10.1.2128.0 по 10.1.2137.2 выполните обновление до 10.1.2137.3. Для MSP-сборок 10.1.2127.17 и более ранних версий выполните обновление до 10.1.2127.18. Для MSP-сборок с 10.1.2128.0 по 10.1.2137.2 выполните обновление до 10.1.2137.3.
CVE-2021-44514OpUtils в Zoho ManageEngine OpManager 12.5 до 125490 неправильно обрабатывает аутентификацию для нескольких каталогов аудита.