CVSS: 6.1EPSS: 0%CPEs: 13EXPL: 0CVE-2021-40176
https://notcve.org/view.php?id=CVE-2021-40176
Zoho ManageEngine Log360 before Build 5225 allows stored XSS. Zoho ManageEngine Log360 versiones anteriores al Build 5225, permite un ataque de tipo XSS almacenado. • https://www.manageengine.com/log-management/readme.html#Build%205225 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.8EPSS: 0%CPEs: 13EXPL: 0CVE-2021-40177
https://notcve.org/view.php?id=CVE-2021-40177
Zoho ManageEngine Log360 before Build 5225 allows remote code execution via BCP file overwrite. Zoho ManageEngine Log360 versiones anteriores al Build 5225, permite una ejecución de código remota por medio de la sobrescritura de archivos BCP. • https://www.manageengine.com/log-management/readme.html#Build%205225 •
CVSS: 6.1EPSS: 0%CPEs: 12EXPL: 0CVE-2021-40178
https://notcve.org/view.php?id=CVE-2021-40178
Zoho ManageEngine Log360 before Build 5224 allows stored XSS via the LOGO_PATH key value in the logon settings. Zoho ManageEngine Log360 versiones anteriores al Build 5224, permite un ataque de tipo XSS almacenado por medio del valor de la clave LOGO_PATH en la configuración de inicio de sesión. • https://www.manageengine.com/log-management/readme.html#Build%205224 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.3EPSS: 0%CPEs: 1EXPL: 1CVE-2021-33256
https://notcve.org/view.php?id=CVE-2021-33256
A CSV injection vulnerability on the login panel of ManageEngine ADSelfService Plus Version: 6.1 Build No: 6101 can be exploited by an unauthenticated user. The j_username parameter seems to be vulnerable and a reverse shell could be obtained if a privileged user exports "User Attempts Audit Report" as CSV file. Note: The vendor disputes this vulnerability, claiming "This is not a valid vulnerability in our ADSSP product. We don't see this as a security issue at our side. ** EN DISPUTA ** Una vulnerabilidad de inyección CSV en el panel de inicio de sesión de ManageEngine ADSelfService Plus Versión: 6.1 Build No: 6101, puede ser explotada por un usuario no autenticado. El parámetro j_username parece ser vulnerable y se podría obtener un shell inverso si un usuario con privilegios exporta "User Attempts Audit Report" como archivo CSV. • https://docs.unsafe-inline.com/0day/manageengine-adselfservice-plus-6.1-csv-injection • CWE-1236: Improper Neutralization of Formula Elements in a CSV File •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 1CVE-2021-33617
https://notcve.org/view.php?id=CVE-2021-33617
Zoho ManageEngine Password Manager Pro before 11.2 11200 allows login/AjaxResponse.jsp?RequestType=GetUserDomainName&userName= username enumeration, because the response (to a failed login request) is null only when the username is invalid. Zoho ManageEngine Password Manager Pro versiones anteriores a 11.2 11200, permite la enumeración login/AjaxResponse.jsp?RequestType=GetUserDomainName&userName= username, porque la respuesta (a una petición de inicio de sesión fallida) es nula sólo cuando el nombre de usuario no es válido • https://herolab.usd.de/security-advisories/usd-2021-0015 https://www.manageengine.com https://www.manageengine.com/products/passwordmanagerpro/release-notes.html#pmp11200 •