Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en ManageEngine Applications Manager (CVE-2016-9491)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-611 Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
13/07/2018
Última modificación:
17/06/2026

Descripción

ManageEngine Applications Manager 12 y 13 antes de la build 13690 permite que un usuario autenticado que puede acceder a una página /register.do (muy probablemente limitado a un administrador), navegue por el sistema de archivos y lea los archivos del sistema, incluyendo la configuración de Applications Manager, las claves privadas almacenadas, etc. Por defecto, Application Manager se ejecuta con privilegios administrativos y, por lo tanto, es posible acceder a todos los directorios del sistema operativo subyacente.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:zohocorp:manageengine_applications_manager:12.0:*:*:*:*:*:*:*
cpe:2.3:a:zohocorp:manageengine_applications_manager:13.0:*:*:*:*:*:*:*