CVSS: 5.5EPSS: 0%CPEs: 788EXPL: 1CVE-2023-6105 – ManageEngine Information Disclosure in Multiple Products
https://notcve.org/view.php?id=CVE-2023-6105
An information disclosure vulnerability exists in multiple ManageEngine products that can result in encryption keys being exposed. A low-privileged OS user with access to the host where an affected ManageEngine product is installed can view and use the exposed key to decrypt product database passwords. This allows the user to access the ManageEngine product database. Existe una vulnerabilidad de divulgación de información en varios productos ManageEngine que puede provocar la exposición de claves de cifrado. Un usuario de sistema operativo con pocos privilegios y acceso al host donde está instalado un producto ManageEngine afectado puede ver y utilizar la clave expuesta para descifrar las contraseñas de la base de datos del producto. • https://www.manageengine.com/security/advisory/CVE/CVE-2023-6105.html https://www.tenable.com/security/research/tra-2023-35 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2023-4769 – Server-Side Request Forgery in ManageEngine Desktop Central
https://notcve.org/view.php?id=CVE-2023-4769
A SSRF vulnerability has been found in ManageEngine Desktop Central affecting version 9.1.0, specifically the /smtpConfig.do component. This vulnerability could allow an authenticated attacker to launch targeted attacks, such as a cross-port attack, service enumeration and other attacks via HTTP requests. Se ha encontrado una vulnerabilidad SSRF en ManageEngine Desktop Central que afecta a la versión 9.1.0, específicamente al componente /smtpConfig.do. Esta vulnerabilidad podría permitir que un atacante autenticado lance ataques dirigidos, como un ataque entre puertos, enumeración de servicios y otros ataques a través de solicitudes HTTP. • https://www.incibe.es/en/incibe-cert/notices/aviso/multiple-vulnerabilities-manageengine-desktop-central • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2023-4768 – Improper Neutralization of CRLF Sequences in ManageEngine Desktop Central
https://notcve.org/view.php?id=CVE-2023-4768
A CRLF injection vulnerability has been found in ManageEngine Desktop Central affecting version 9.1.0. This vulnerability could allow a remote attacker to inject arbitrary HTTP headers and perform HTTP response splitting attacks via the fileName parameter in /STATE_ID/1613157927228/InvSWMetering.pdf. Se ha encontrado una vulnerabilidad de inyección CRLF en ManageEngine Desktop Central que afecta a la versión 9.1.0. Esta vulnerabilidad podría permitir a un atacante remoto inyectar encabezados HTTP arbitrarios y realizar ataques de división de respuestas HTTP a través del parámetro fileName en /STATE_ID/1613157927228/InvSWMetering.pdf. • https://www.incibe.es/en/incibe-cert/notices/aviso/multiple-vulnerabilities-manageengine-desktop-central • CWE-93: Improper Neutralization of CRLF Sequences ('CRLF Injection') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2023-4767 – Improper Neutralization of CRLF Sequences in ManageEngine Desktop Central
https://notcve.org/view.php?id=CVE-2023-4767
A CRLF injection vulnerability has been found in ManageEngine Desktop Central affecting version 9.1.0. This vulnerability could allow a remote attacker to inject arbitrary HTTP headers and perform HTTP response splitting attacks via the fileName parameter in /STATE_ID/1613157927228/InvSWMetering.csv. Se ha encontrado una vulnerabilidad de inyección CRLF en ManageEngine Desktop Central que afecta a la versión 9.1.0. Esta vulnerabilidad podría permitir a un atacante remoto inyectar encabezados HTTP arbitrarios y realizar ataques de división de respuestas HTTP a través del parámetro fileName en /STATE_ID/1613157927228/InvSWMetering.csv. • https://www.incibe.es/en/incibe-cert/notices/aviso/multiple-vulnerabilities-manageengine-desktop-central • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') CWE-93: Improper Neutralization of CRLF Sequences ('CRLF Injection') •
CVSS: 5.4EPSS: 0%CPEs: 4EXPL: 0CVE-2023-41904
https://notcve.org/view.php?id=CVE-2023-41904
Zoho ManageEngine ADManager Plus before 7203 allows 2FA bypass (for AuthToken generation) in REST APIs. Zoho ManageEngine ADManager Plus anterior a 7203 permite la omisión de 2FA (para la generación de AuthToken) en las API REST. • https://www.manageengine.com/products/ad-manager/admanager-kb/cve-2023-41904.html • CWE-287: Improper Authentication •