Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en las funciones GetInternetRequestHandle, InternetSendRequestEx e InternetSendRequestByBitrate en la comprobación del certificado TLS en Zoho ManageEngine Desktop Central (CVE-2020-15589)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
02/10/2020
Última modificación:
06/12/2021

Descripción

Se detectó un problema de diseño en GetInternetRequestHandle, InternetSendRequestEx e InternetSendRequestByBitrate en el lado del cliente de Zoho ManageEngine Desktop Central 10.0.552.W y Remote Access Plus antes de 10.1.2119.1. Aprovechando este problema, un servidor controlado por un atacante puede forzar al cliente a omitir la validación de certificados TLS, lo que lleva a un ataque de tipo man-in-the-middle contra HTTPS y a la ejecución de código remoto no autenticado

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:zohocorp:manageengine_desktop_central:10.0.552.w:*:*:*:*:*:*:*
cpe:2.3:a:zohocorp:manageengine_remote_access_plus:*:*:*:*:*:*:*:* 10.1.2119.1 (excluyendo)