Vulnerabilidad en las funciones GetInternetRequestHandle, InternetSendRequestEx e InternetSendRequestByBitrate en la comprobación del certificado TLS en Zoho ManageEngine Desktop Central (CVE-2020-15589)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
02/10/2020
Última modificación:
06/12/2021
Descripción
Se detectó un problema de diseño en GetInternetRequestHandle, InternetSendRequestEx e InternetSendRequestByBitrate en el lado del cliente de Zoho ManageEngine Desktop Central 10.0.552.W y Remote Access Plus antes de 10.1.2119.1. Aprovechando este problema, un servidor controlado por un atacante puede forzar al cliente a omitir la validación de certificados TLS, lo que lleva a un ataque de tipo man-in-the-middle contra HTTPS y a la ejecución de código remoto no autenticado
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:zohocorp:manageengine_desktop_central:10.0.552.w:*:*:*:*:*:*:* | ||
cpe:2.3:a:zohocorp:manageengine_remote_access_plus:*:*:*:*:*:*:*:* | 10.1.2119.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página