CVSS: 7.5EPSS: 97%CPEs: 1EXPL: 0CVE-2017-11512
https://notcve.org/view.php?id=CVE-2017-11512
The ManageEngine ServiceDesk 9.3.9328 is vulnerable to arbitrary file downloads due to improper restrictions of the pathname used in the name parameter for the download-snapshot URL. An unauthenticated remote attacker can use this vulnerability to download arbitrary files. ManageEngine ServideDesk 9.3.9328 es vulnerable a la descarga de archivos arbitrarios debido a restricciones incorrectas del nombre de ruta utilizado en el parámetro name para la URL download-snapshot. Un atacante remoto no autenticado puede utilizar esta vulnerabilidad para descargar archivos arbitrarios. • http://www.securityfocus.com/bid/101789 https://www.tenable.com/security/research/tra-2017-31 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 7.5EPSS: 33%CPEs: 1EXPL: 0CVE-2017-11511
https://notcve.org/view.php?id=CVE-2017-11511
The ManageEngine ServiceDesk 9.3.9328 is vulnerable to arbitrary file downloads due to improper restrictions of the pathname used in the filepath parameter for the download-file URL. An unauthenticated remote attacker can use this vulnerability to download arbitrary files. ManageEngine ServideDesk 9.3.9328 es vulnerable a la descarga de archivos arbitrarios debido a restricciones incorrectas del nombre de ruta utilizado en el parámetro filepath para la URL download-file. Un atacante remoto no autenticado puede utilizar esta vulnerabilidad para descargar archivos arbitrarios. • http://www.securityfocus.com/bid/101788 https://www.tenable.com/security/research/tra-2017-31 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •