CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-46165
https://notcve.org/view.php?id=CVE-2021-46165
Zoho ManageEngine Desktop Central before 10.0.662, during startup, launches an executable file from the batch files, but this file's path might not be properly defined. Zoho ManageEngine Desktop Central versiones anteriores a 10.0.662, durante el inicio, lanza un archivo ejecutable desde los archivos por lotes, pero la ruta de este archivo podría no estar correctamente definida • https://www.manageengine.com/products/desktop-central/vulnerabilities-in-reports-module.html •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-46166
https://notcve.org/view.php?id=CVE-2021-46166
Zoho ManageEngine Desktop Central before 10.0.662 allows authenticated users to obtain sensitive information from the database by visiting the Reports page. Zoho ManageEngine Desktop Central versiones anteriores a 10.0.662, permite a usuarios autenticados conseguir información confidencial de la base de datos al visitar la página de Informes • https://www.manageengine.com/products/desktop-central/vulnerabilities-in-reports-module.html • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.3EPSS: 0%CPEs: 18EXPL: 1CVE-2021-20148
https://notcve.org/view.php?id=CVE-2021-20148
ManageEngine ADSelfService Plus below build 6116 stores the password policy file for each domain under the html/ web root with a predictable filename based on the domain name. When ADSSP is configured with multiple Windows domains, a user from one domain can obtain the password policy for another domain by authenticating to the service and then sending a request specifying the password policy file of the other domain. ManageEngine ADSelfService Plus versiones anteriores a la compilación 6116, almacena el archivo de política de contraseñas para cada dominio bajo la raíz html/ web con un nombre de archivo predecible basado en el nombre del dominio. Cuando ADSSP está configurado con múltiples dominios de Windows, un usuario de un dominio puede obtener la política de contraseñas de otro dominio al autenticarse en el servicio y enviando una petición especificando el archivo de política de contraseñas del otro dominio • https://www.tenable.com/security/research/tra-2021-52 • CWE-552: Files or Directories Accessible to External Parties •
CVSS: 5.3EPSS: 0%CPEs: 18EXPL: 1CVE-2021-20147
https://notcve.org/view.php?id=CVE-2021-20147
ManageEngine ADSelfService Plus below build 6116 contains an observable response discrepancy in the UMCP operation of the ChangePasswordAPI. This allows an unauthenticated remote attacker to determine whether a Windows domain user exists. ManageEngine ADSelfService Plus versiones anteriores a la compilación 6116, contiene una discrepancia de respuesta observable en la operación UMCP de la ChangePasswordAPI. Esto permite a un atacante remoto no autenticado determinar si se presenta un usuario de dominio de Windows • https://www.tenable.com/security/research/tra-2021-52 • CWE-203: Observable Discrepancy •
CVSS: 9.8EPSS: 0%CPEs: 365EXPL: 0CVE-2021-44526
https://notcve.org/view.php?id=CVE-2021-44526
Zoho ManageEngine ServiceDesk Plus before 12003 allows authentication bypass in certain admin configurations. Zoho ManageEngine ServiceDesk Plus versiones anteriores a 12003, permite omitir la autenticación en determinadas configuraciones de administración • https://www.manageengine.com/products/service-desk/on-premises/readme.html#12003 •