CVSS: 7.8EPSS: 0%CPEs: 2EXPL: 1CVE-2021-42954
https://notcve.org/view.php?id=CVE-2021-42954
Zoho Remote Access Plus Server Windows Desktop Binary fixed from 10.1.2121.1 is affected by incorrect access control. The installation directory is vulnerable to weak file permissions by allowing full control for Windows Everyone user group (non-admin or any guest users), thereby allowing privilege escalation, unauthorized password reset, stealing of sensitive data, access to credentials in plaintext, access to registry values, tampering with configuration files, etc. Zoho Remote Access Plus Server Windows Desktop Binary corregido desde la versión 10.1.2121.1, está afectado por un control de acceso incorrecto. El directorio de instalación es vulnerable a permisos de archivo débiles al permitir el control total para el grupo de usuarios de Windows Everyone (no-admin o cualquier usuario invitado), permitiendo así una escalada de privilegios, el restablecimiento no autorizado de la contraseña, el robo de datos confidenciales, el acceso a las credenciales en texto plano, el acceso a los valores del registro, la manipulación de los archivos de configuración, etc • https://medium.com/nestedif/vulnerability-disclosure-improper-filesystem-permission-misconfigured-acls-zoho-r-a-p-56e195464b51 • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 7.5EPSS: 2%CPEs: 1EXPL: 1CVE-2021-41827
https://notcve.org/view.php?id=CVE-2021-41827
Zoho ManageEngine Remote Access Plus before 10.1.2121.1 has hardcoded credentials for read-only access. The credentials are in the source code that corresponds to the DCBackupRestore JAR archive. Zoho ManageEngine Remote Access Plus versiones anteriores a 10.1.2121.1, presenta credenciales embebidas para el acceso de sólo lectura. Las credenciales están en el código fuente que corresponde al archivo JAR DCBackupRestore • https://medium.com/nestedif/vulnerability-disclosure-hardcoded-keys-password-zoho-r-a-p-318aa9bba2e https://www.manageengine.com/remote-desktop-management/hotfix-readme.html • CWE-798: Use of Hard-coded Credentials •
CVSS: 7.5EPSS: 2%CPEs: 1EXPL: 1CVE-2021-41828
https://notcve.org/view.php?id=CVE-2021-41828
Zoho ManageEngine Remote Access Plus before 10.1.2121.1 has hardcoded credentials associated with resetPWD.xml. Zoho ManageEngine Remote Access Plus versiones anteriores a 10.1.2121.1, presenta credenciales embebidas asociadas al archivo resetPWD.xml • https://medium.com/nestedif/vulnerability-disclosure-hardcoded-keys-password-zoho-r-a-p-318aa9bba2e https://www.manageengine.com/remote-desktop-management/hotfix-readme.html • CWE-798: Use of Hard-coded Credentials •
CVSS: 7.5EPSS: 2%CPEs: 1EXPL: 1CVE-2021-41829
https://notcve.org/view.php?id=CVE-2021-41829
Zoho ManageEngine Remote Access Plus before 10.1.2121.1 relies on the application's build number to calculate a certain encryption key. Zoho ManageEngine Remote Access Plus versiones anteriores a 10.1.2121.1, es basado en el número de compilación de la aplicación para calcular una determinada clave de cifrado • https://medium.com/nestedif/vulnerability-disclosure-statically-derived-encryption-key-zoho-r-a-p-907088263197 https://www.manageengine.com/remote-desktop-management/hotfix-readme.html • CWE-330: Use of Insufficiently Random Values •
CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 1CVE-2019-16268
https://notcve.org/view.php?id=CVE-2019-16268
Zoho ManageEngine Remote Access Plus 10.0.259 allows HTML injection via the Description field on the Admin - User Administration userMgmt.do?actionToCall=ShowUser screen. Zoho ManageEngine Remote Access Plus versión 10.0.259, permite una inyección HTML por medio del campo Description en la pantalla Admin - User Administration userMgmt.do?actionToCall=ShowUser • https://www.esecforte.com/responsible-vulnerability-disclosure-cve-2019-16268-html-injection-vulnerability-in-manageengine-remote-access-plus https://www.manageengine.com/remote-desktop-management/knowledge-base/html-injection.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •