Múltiples vulnerabilidades en ManageEngine Desktop Central
Fecha de publicación 03/11/2023
Importancia
3 - Media
Recursos Afectados
Desktop Central, versión 9.1.0.
Descripción
INCIBE ha coordinado la publicación de 3 vulnerabilidades que afectan a ManageEngine Desktop Central 9.1.0, las cuales han sido descubiertas por Rafael Pedrero.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2023-4767: CVSS v3.1: 6.1 | CVSS: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-93.
- CVE-2023-4768: CVSS v3.1: 6.1 | CVSS: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-93.
- CVE-2023-4769: CVSS v3.1: 6.6 | CVSS: AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H | CWE-918.
Solución
Las vulnerabilidades han sido corregidas en la última versión de Desktop Central.
Detalle
- CVE-2023-4767: se ha encontrado una vulnerabilidad de inyección CRLF en ManageEngine Desktop Central que afecta a la versión 9.1.0. Esta vulnerabilidad podría permitir a un atacante remoto inyectar cabeceras HTTP arbitrarias y realizar ataques de división de respuesta HTTP a través del parámetro fileName en /STATE_ID/1613157927228/InvSWMetering.csv.
- CVE-2023-4768: se ha encontrado una vulnerabilidad de inyección CRLF en ManageEngine Desktop Central que afecta a la versión 9.1.0. Esta vulnerabilidad podría permitir a un atacante remoto inyectar cabeceras HTTP arbitrarias y realizar ataques de división de respuesta HTTP a través del parámetro fileName en /STATE_ID/1613157927228/InvSWMetering.pdf.
- CVE-2023-4769: se ha encontrado una vulnerabilidad SSRF en ManageEngine Desktop Central que afecta a la versión 9.1.0, concretamente al componente /smtpConfig.do. Esta vulnerabilidad podría permitir a un atacante autenticado lanzar ataques específicos, como un ataque de puerto cruzado, enumeración de servicios y otros ataques a través de peticiones HTTP.
Listado de referencias
Etiquetas
