Vulnerabilidad en Zoho ManageEngine ServiceDesk Plus, ServiceDesk Plus MSP y SupportCenter Plus (CVE-2024-27314)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
27/05/2024
Última modificación:
17/06/2025
Descripción
Las versiones de Zoho ManageEngine ServiceDesk Plus inferiores a 14730, ServiceDesk Plus MSP inferiores a 14720 y SupportCenter Plus inferiores a 14730 son vulnerables a XSS almacenado en el menú Acciones personalizadas en los detalles de la solicitud. Esta vulnerabilidad solo puede ser aprovechada por los usuarios de la función SDAdmin.
Impacto
Puntuación base 3.x
2.40
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:zohocorp:manageengine_servicedesk_plus:*:*:*:*:*:*:*:* | 14.6 (incluyendo) | |
| cpe:2.3:a:zohocorp:manageengine_servicedesk_plus:14.7:14700:*:*:*:*:*:* | ||
| cpe:2.3:a:zohocorp:manageengine_servicedesk_plus:14.7:14710:*:*:*:*:*:* | ||
| cpe:2.3:a:zohocorp:manageengine_servicedesk_plus:14.7:14720:*:*:*:*:*:* | ||
| cpe:2.3:a:zohocorp:manageengine_servicedesk_plus_msp:*:*:*:*:*:*:*:* | 14.6 (incluyendo) | |
| cpe:2.3:a:zohocorp:manageengine_servicedesk_plus_msp:14.7:14700:*:*:*:*:*:* | ||
| cpe:2.3:a:zohocorp:manageengine_servicedesk_plus_msp:14.7:14710:*:*:*:*:*:* | ||
| cpe:2.3:a:zohocorp:manageengine_supportcenter_plus:*:*:*:*:*:*:*:* | 14.6 (incluyendo) | |
| cpe:2.3:a:zohocorp:manageengine_supportcenter_plus:14.7:14700:*:*:*:*:*:* | ||
| cpe:2.3:a:zohocorp:manageengine_supportcenter_plus:14.7:14710:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página