Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Zoho ManageEngine Desktop Central (CVE-2020-10189)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-502 Deserialización de datos no confiables
Fecha de publicación:
06/03/2020
Última modificación:
14/03/2025

Descripción

Zoho ManageEngine Desktop Central anterior a la versión 10.0.474 permite la ejecución remota de código debido a la deserialización de datos no seguros en getChartImage en la clase FileStorage. Esto está relacionado con los servlets CewolfServlet y MDMLogUploaderServlet.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:zohocorp:manageengine_desktop_central:*:*:*:*:*:*:*:* 10.0.479 (excluyendo)