CVSS: 7.5EPSS: 0%CPEs: 65EXPL: 0CVE-2022-35403
https://notcve.org/view.php?id=CVE-2022-35403
Zoho ManageEngine ServiceDesk Plus before 13008, ServiceDesk Plus MSP before 10606, and SupportCenter Plus before 11022 are affected by an unauthenticated local file disclosure vulnerability via ticket-creation email. (This also affects Asset Explorer before 6977 with authentication.) Zoho ManageEngine ServiceDesk Plus versiones anteriores a 13008, ServiceDesk Plus MSP versiones anteriores a 10606 y SupportCenter Plus versiones anteriores a 11022 están afectados por una vulnerabilidad de divulgación de archivos locales sin autenticación por medio del correo electrónico de creación de tickets. (Esto también afecta a Asset Explorer versiones anteriores a 6977 con autenticación) • https://www.manageengine.com/products/service-desk/cve-2022-35403.html •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2022-34829
https://notcve.org/view.php?id=CVE-2022-34829
Zoho ManageEngine ADSelfService Plus before 6203 allows a denial of service (application restart) via a crafted payload to the Mobile App Deployment API. Zoho ManageEngine ADSelfService Plus versiones anteriores a 6203, permite una denegación de servicio (reinicio de la aplicación) por medio de una carga útil diseñada para la API de despliegue de aplicaciones móviles • https://www.manageengine.com/products/self-service-password/advisory/CVE-2022-34829.html •
CVSS: 7.5EPSS: 2%CPEs: 6EXPL: 0CVE-2022-32551
https://notcve.org/view.php?id=CVE-2022-32551
Zoho ManageEngine ServiceDesk Plus MSP before 10604 allows path traversal (to WEBINF/web.xml from sample/WEB-INF/web.xml or sample/META-INF/web.xml). Zoho ManageEngine ServiceDesk Plus MSP versiones anteriores a 10604 permite un salto de ruta (a WEBINF/web.xml desde sample/WEB-INF/web.xml o sample/META-INF/web.xml) • https://www.manageengine.com/products/service-desk-msp/CVE-2022-32551.html • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 7.2EPSS: 0%CPEs: 4EXPL: 1CVE-2022-23050
https://notcve.org/view.php?id=CVE-2022-23050
ManageEngine AppManager15 (Build No:15510) allows an authenticated admin user to upload a DLL file to perform a DLL hijack attack inside the 'working' folder through the 'Upload Files / Binaries' functionality. ManageEngine AppManager15 (Build No:15510) permite a un usuario administrador autenticado subir un archivo DLL para llevar a cabo un ataque de secuestro de DLL dentro de la carpeta "working" mediante la funcionalidad "Upload Files / Binaries" • https://fluidattacks.com/advisories/cerati https://www.manageengine.com/products/applications_manager/security-updates/security-updates-cve-2022-23050.html • CWE-427: Uncontrolled Search Path Element •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 2CVE-2022-28987
https://notcve.org/view.php?id=CVE-2022-28987
Zoho ManageEngine ADSelfService Plus before 6202 allows attackers to perform username enumeration via a crafted POST request to /ServletAPI/accounts/login. Zoho ManageEngine ADSelfService Plus antes de la versión 6202 permite a los atacantes realizar una enumeración de nombres de usuario a través de una solicitud POST elaborada a /ServletAPI/accounts/login • https://github.com/passtheticket/vulnerability-research/blob/main/manage-engine-apps/adselfservice-userenum.md https://github.com/passtheticket/vulnerability-research/blob/main/manage-engine-apps/adselfservice-userenum.py https://www.manageengine.com/products/self-service-password/advisory/CVE-2022-28987.html •