← voltar
CVE-2021-37415

CVE-2021-37415

CVSS 9.8 CRITICALEPSS 99.6%● KEVCWE-306
Em resumo

O Zoho ManageEngine ServiceDesk Plus antes da versão 11302 tem uma falha que permite que atacantes acessem certas funções da API REST sem fazer login, podendo expor dados sensíveis ou permitir ações não autorizadas.

Detalhe técnico

O CWE-306 (Verificação de Autenticação Ausente) permite acesso não autenticado a endpoints específicos da API REST no ServiceDesk Plus versões anteriores à 11302. Um atacante pode explorar isso chamando diretamente URLs de API afetadas sem credenciais, contornando controles de autenticação e obtendo acesso não autorizado a operações sensíveis.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Zoho ManageEngine ServiceDesk Plus before 11302 is vulnerable to authentication bypass that allows a few REST-API URLs without authentication.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/a

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-37415https://www.manageengine.comhttps://www.manageengine.com/products/service-desk/on-premises/readme.html#11302