Vulnerabilidad en ManageEngine ServiceDesk Plus (CVE-2011-1509)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-310
Errores criptográficos
Fecha de publicación:
20/09/2011
Última modificación:
11/04/2025
Descripción
La función EncryptPassword en Login.js en ManageEngine ServiceDesk Plus (SDP) v8012 y anteriores utiliza un cifrado César para el cifrado de contraseñas en las cookies, lo que hace más fácil para los atacantes remotos obtener información sensible por la captura de tráfico (sniffing)de la red.
Impacto
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:manageengine:servicedesk_plus:*:*:*:*:*:*:*:* | 8012 (incluyendo) | |
| cpe:2.3:a:manageengine:servicedesk_plus:8.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://securityreason.com/securityalert/8385
- http://www.coresecurity.com/content/multiples-vulnerabilities-manageengine-sdp
- http://www.securityfocus.com/archive/1/519652/100/0/threaded
- http://www.securityfocus.com/bid/49636
- https://exchange.xforce.ibmcloud.com/vulnerabilities/69841
- http://securityreason.com/securityalert/8385
- http://www.coresecurity.com/content/multiples-vulnerabilities-manageengine-sdp
- http://www.securityfocus.com/archive/1/519652/100/0/threaded
- http://www.securityfocus.com/bid/49636
- https://exchange.xforce.ibmcloud.com/vulnerabilities/69841