CVSS: 6.1EPSS: 0%CPEs: 13EXPL: 0CVE-2021-40176
https://notcve.org/view.php?id=CVE-2021-40176
Zoho ManageEngine Log360 before Build 5225 allows stored XSS. Zoho ManageEngine Log360 versiones anteriores al Build 5225, permite un ataque de tipo XSS almacenado. • https://www.manageengine.com/log-management/readme.html#Build%205225 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 13EXPL: 0CVE-2021-40177
https://notcve.org/view.php?id=CVE-2021-40177
Zoho ManageEngine Log360 before Build 5225 allows remote code execution via BCP file overwrite. Zoho ManageEngine Log360 versiones anteriores al Build 5225, permite una ejecución de código remota por medio de la sobrescritura de archivos BCP. • https://www.manageengine.com/log-management/readme.html#Build%205225 •
CVSS: 6.1EPSS: 0%CPEs: 12EXPL: 0CVE-2021-40178
https://notcve.org/view.php?id=CVE-2021-40178
Zoho ManageEngine Log360 before Build 5224 allows stored XSS via the LOGO_PATH key value in the logon settings. Zoho ManageEngine Log360 versiones anteriores al Build 5224, permite un ataque de tipo XSS almacenado por medio del valor de la clave LOGO_PATH en la configuración de inicio de sesión. • https://www.manageengine.com/log-management/readme.html#Build%205224 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 10.0EPSS: 2%CPEs: 152EXPL: 0CVE-2020-24786
https://notcve.org/view.php?id=CVE-2020-24786
An issue was discovered in Zoho ManageEngine Exchange Reporter Plus before build number 5510, AD360 before build number 4228, ADSelfService Plus before build number 5817, DataSecurity Plus before build number 6033, RecoverManager Plus before build number 6017, EventLog Analyzer before build number 12136, ADAudit Plus before build number 6052, O365 Manager Plus before build number 4334, Cloud Security Plus before build number 4110, ADManager Plus before build number 7055, and Log360 before build number 5166. The remotely accessible Java servlet com.manageengine.ads.fw.servlet.UpdateProductDetails is prone to an authentication bypass. System integration properties can be modified and lead to full ManageEngine suite compromise. Se detectó un problema en Zoho ManageEngine Exchange Reporter Plus antes del número de compilación 5510, AD360 antes del número de compilación 4228, ADSelfService Plus antes del número de compilación 5817, DataSecurity Plus antes del número de compilación 6033, RecoverManager Plus antes del número de compilación 6017, EventLog Analyzer antes del número de compilación 12136, ADAudit Además, antes del número de compilación 6052, O365 Manager Plus antes del número de compilación 4334, Cloud Security Plus antes del número de compilación 4110, ADManager Plus antes del número de compilación 7055 y Log360 antes del número de compilación 5166. El servlet de Java com.manageengine.ads.fw.servlet.UpdateProductDetails accesible remotamente es propenso a una omisión de autenticación. • https://medium.com/%40frycos/another-zoho-manageengine-story-7b472f1515f5 https://pitstop.manageengine.com/portal/en/community/topic/admanager-plus-fixes-and-enhancements https://pitstop.manageengine.com/portal/en/community/topic/how-to-fix-the-unauthenticated-product-integration-vulnerability https://pitstop.manageengine.com/portal/en/community/topic/how-to-fix-the-unauthenticated-product-integration-vulnerability-17-5-2020 https://pitstop.manageengine.com/portal/en/community/topic/how-to-fix-the-unauthenticated-product-integration&# • CWE-287: Improper Authentication •