← voltar
CVE-2020-10189

CVE-2020-10189

CVSS 9.8 CRITICALEPSS 99.9%● KEVCWE-502
Em resumo

O Zoho ManageEngine Desktop Central anterior à versão 10.0.474 possui uma falha crítica onde atacantes conseguem executar código malicioso no servidor enviando requisições especialmente preparadas que exploram a desserialização insegura de dados. Isso permite o comprometimento completo do sistema afetado sem necessidade de autenticação.

Detalhe técnico

Uma vulnerabilidade de desserialização no método getChartImage da classe FileStorage permite execução remota de código sem autenticação através dos servlets CewolfServlet e MDMLogUploaderServlet. Atacantes podem criar objetos Java serializados maliciosos que executam código arbitrário durante a desserialização, resultando em comprometimento total do sistema com CVSS 9.8.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Zoho ManageEngine Desktop Central before 10.0.474 allows remote code execution because of deserialization of untrusted data in getChartImage in the FileStorage class. This is related to the CewolfServlet and MDMLogUploaderServlet servlets.
CVSS:3.0/AC:L/AV:N/A:H/C:H/I:H/PR:N/S:U/UI:N
Produtos afetados
n/a · n/a
PoCs públicas encontradas3
githubgithub.com/zavke/CVE-2020-10189-ManageEngine3cve_referencepacketstormsecurity.com/files/156730/ManageEngine-Desktop-Central-Java-Deserialization.htmlnão verificadoexploitdbwww.exploit-db.com/exploits/48224não verificado
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
http://packetstormsecurity.com/files/156730/ManageEngine-Desktop-Central-Java-Deserialization.htmlhttps://cwe.mitre.org/data/definitions/502.htmlhttps://srcincite.io/advisories/src-2020-0011/https://srcincite.io/pocs/src-2020-0011.py.txthttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-10189https://www.manageengine.com/products/desktop-central/remote-code-execution-vulnerability.htmlhttps://www.zdnet.com/article/zoho-zero-day-published-on-twitter/