CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 3CVE-2019-12189 – Zoho ManageEngine ServiceDesk Plus 9.3 - Cross-Site Scripting
https://notcve.org/view.php?id=CVE-2019-12189
An issue was discovered in Zoho ManageEngine ServiceDesk Plus 9.3. There is XSS via the SearchN.do search field. Fue descubierto un problema en Zoho ManageEngine ServiceDesk Plus 9.3. Existe un XSS a través del campo de búsqueda SearchN.do. Zoho ManageEngine ServiceDesk Plus version 9.3 suffers from a cross site scripting vulnerability. • https://www.exploit-db.com/exploits/46895 https://github.com/falconz/CVE-2019-12189 http://packetstormsecurity.com/files/153028/Zoho-ManageEngine-ServiceDesk-Plus-9.3-Cross-Site-Scripting.html https://github.com/tuyenhva/CVE-2019-12189 https://www.manageengine.com/products/service-desk/readme.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 1CVE-2019-12252 – Zoho ManageEngine ServiceDesk Plus < 10.5 - Improper Access Restrictions
https://notcve.org/view.php?id=CVE-2019-12252
In Zoho ManageEngine ServiceDesk Plus through 10.5, users with the lowest privileges (guest) can view an arbitrary post by appending its number to the SDNotify.do?notifyModule=Solution&mode=E-Mail¬ifyTo=SOLFORWARD&id= substring. En Zoho ManageEngine ServiceDesk Plus hasta la versión 10.5, los usuarios con menos privilegios (guest) pueden ver una publicación arbitraria agregando su número al SDNotify.do?notifyModule=Solution&mode=E-Mail¬ifyTo=SOLFORWARD&id= substring. Zoho ManageEngine ServiceDesk Plus versions prior to 10.5 suffer from a privilege escalation vulnerability. • https://www.exploit-db.com/exploits/46894 http://packetstormsecurity.com/files/153029/Zoho-ManageEngine-ServiceDesk-Plus-Privilege-Escalation.html http://www.securityfocus.com/bid/108456 https://github.com/tuyenhva/CVE-2019-12252 https://www.manageengine.com/products/service-desk/readme.html • CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 2CVE-2019-10008 – Manage Engine ServiceDesk Plus 10.0 - Privilege Escalation
https://notcve.org/view.php?id=CVE-2019-10008
Zoho ManageEngine ServiceDesk 9.3 allows session hijacking and privilege escalation because an established guest session is automatically converted into an established administrator session when the guest user enters the administrator username, with an arbitrary incorrect password, in an mc/ login attempt within a different browser tab. Zoho ManageEngine ServiceDesk versión 9.3 permite el secuestro de sesión y la escalada de privilegios porque una sesión de invitado establecida se convierte automáticamente en una sesión de administrador establecida cuando el usuario invitado ingresa el nombre de usuario del administrador, con un contraseña incorrecta arbitraria, en un intento mc/login dentro de una pestaña diferente del navegador. • https://www.exploit-db.com/exploits/46659 https://github.com/ignis-sec/CVE-2019-10008 https://www.manageengine.com/products/service-desk/readme.html • CWE-384: Session Fixation •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 3CVE-2019-10273 – ManageEngine ServiceDesk Plus 9.3 - User Enumeration
https://notcve.org/view.php?id=CVE-2019-10273
Information leakage vulnerability in the /mc login page in ManageEngine ServiceDesk Plus 9.3 software allows authenticated users to enumerate active users. Due to a flaw within the way the authentication is handled, an attacker is able to login and verify any active account. Una vulnerabilidad de fuga de información en la página de inicio de sesión /mc en el software ManageEngine ServiceDesk Plus 9.3 permite a los usuarios autenticados enumerar los usuarios activos. Debido a un error en la manera en la que se gestiona la autenticación, un atacante es capaz de iniciar sesión y verificar cualquier cuenta activa. ManageEngine ServiceDesk Plus version 9.3 suffers from a user enumeration vulnerability. • https://www.exploit-db.com/exploits/46674 http://packetstormsecurity.com/files/152439/ManageEngine-ServiceDesk-Plus-9.3-User-Enumeration.html https://0x445.github.io/CVE-2019-10273 • CWE-287: Improper Authentication •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2017-9362
https://notcve.org/view.php?id=CVE-2017-9362
ManageEngine ServiceDesk Plus before 9312 contains an XML injection at add Configuration items CMDB API. ManageEngine ServiceDesk Plus en sus versiones anteriores a la 9312 contiene una inyección XML en los ítems de adición de configuración de la API CMDB. • https://labs.integrity.pt/advisories/cve-2017-9362 • CWE-611: Improper Restriction of XML External Entity Reference •