CVE-2017-17552
https://notcve.org/view.php?id=CVE-2017-17552
/LoadFrame in Zoho ManageEngine AD Manager Plus build 6590 - 6613 allows attackers to conduct URL Redirection attacks via the src parameter, resulting in a bypass of CSRF protection, or potentially masquerading a malicious URL as trusted. /LoadFrame en Zoho ManageEngine AD Manager Plus build 6590 - 6613 permite que atacantes lleven a cabo ataques de redirección de URL mediante el parámetro src, lo que resulta en la omisión de la protección CSRF o en la ocultación potencial de una URL maliciosa como fiable. • https://umbrielsecurity.wordpress.com/2018/01/31/dangerous-url-redirection-and-csrf-in-zoho-manageengine-ad-manager-plus-cve-2017-17552 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2015-1026 – Manage Engine AD Audit Manager Plus Cross Site Scripting
https://notcve.org/view.php?id=CVE-2015-1026
Multiple cross-site scripting (XSS) vulnerabilities in ZOHO ManageEngine ADManager Plus before 6.2 Build 6270 allow remote attackers to inject arbitrary web script or HTML via the (1) technicianSearchText parameter to the Help Desk Technician page or (2) rolesSearchText parameter to the Help Desk Roles. Múltiples vulnerabilidades de XSS en ZOHO ManageEngine ADManager Plus anterior a 6.2 Build 6270 permiten a atacantes remotos inyectar secuencias de comandos web arbitrarios o HTML a través (1) del parámetro technicianSearchText en la página de técnico del centro de ayuda (Help Desk Technician) o (2) del parámetro rolesSearchText parameter en los roles del centro de ayuda (Help Desk Roles). Manage Engine AD Audit Manager Plus versions below build 6270 suffer from a cross site scripting vulnerability. • http://packetstormsecurity.com/files/130737/Manage-Engine-AD-Audit-Manager-Plus-Cross-Site-Scripting.html http://www.securityfocus.com/archive/1/534833/100/0/threaded • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2010-5050
https://notcve.org/view.php?id=CVE-2010-5050
Cross-site scripting (XSS) vulnerability in jsp/admin/tools/remote_share.jsp in ManageEngine ADManager Plus 4.4.0 allows remote attackers to inject arbitrary web script or HTML via the computerName parameter. NOTE: the provenance of this information is unknown; the details are obtained solely from third party information. Vulnerabilidad de ejecución de secuencias de comandos en sitios cruzados (XSS) en jsp/admin/tools/remote_share.jsp en ManageEngine ADManager Plus v4.4.0, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del parámetro computerName. NOTA: El origen de esta información es desconocido; los detalles han sido obtenidos de una fuente de información de terceros. • http://osvdb.org/64857 http://secunia.com/advisories/39901 http://www.securityfocus.com/bid/40355 https://exchange.xforce.ibmcloud.com/vulnerabilities/58860 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •