Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en ManageEngine Applications Manager (CVE-2016-9489)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-255 Gestión de credenciales
Fecha de publicación:
13/07/2018
Última modificación:
09/10/2019

Descripción

En ManageEngine Applications Manager 12 y 13, antes de la build 13200, un usuario autenticado puede alterar todas sus propiedades, incluyendo su propio grupo; p. ej., cambiando su grupo a otro con mayores privilegios como "ADMIN". Un usuario también puede cambiar las propiedades de otro usuario, p. ej., cambiando la contraseña de otro usuario.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:zohocorp:manageengine_applications_manager:12.0:*:*:*:*:*:*:*
cpe:2.3:a:zohocorp:manageengine_applications_manager:13.0:*:*:*:*:*:*:*