Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el servlet agentUpload en ZOHO ManageEngine EventLog Analyzer (CVE-2014-6037)

Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
26/10/2014
Última modificación:
12/04/2025

Descripción

La vulnerabilidad transversal del directorio en el servlet agentUpload en ZOHO ManageEngine EventLog Analyzer 9.0 build 9002 y 8.2 build 8020 permite a los atacantes remotos ejecutar código arbitrario al cargar un archivo ZIP que contiene un archivo ejecutable con secuencias .. (punto punto) en su nombre, y luego acceder el ejecutable a través de una solicitud directa al archivo bajo la raíz web. Corregido en Build 11072.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:zohocorp:manageengine_eventlog_analyzer:8.2:8020:*:*:*:*:*:*
cpe:2.3:a:zohocorp:manageengine_eventlog_analyzer:9.0:9002:*:*:*:*:*:*