CVSS: 7.5EPSS: 1%CPEs: 2EXPL: 1CVE-2018-18980
https://notcve.org/view.php?id=CVE-2018-18980
An XML External Entity injection (XXE) vulnerability exists in Zoho ManageEngine Network Configuration Manager and OpManager before 12.3.214 via the RequestXML parameter in a /devices/ProcessRequest.do GET request. For example, the attacker can trigger the transmission of local files to an arbitrary remote FTP server. Existe una vulnerabilidad XEE (XML External Entity) en Zoho ManageEngine Network Configuration Manager y OpManager en versiones anteriores a la 12.3.214 mediante el parámetro RequestXML en una petición GET en /devices/ProcessRequest.do. Por ejemplo, el atacante puede desencadenar la transmisión de archivos locales a un servidor FTP remoto arbitrario. • https://github.com/x-f1v3/ForCve/issues/5 https://www.manageengine.com/network-monitoring/help/read-me.html • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 7.5EPSS: 40%CPEs: 1EXPL: 1CVE-2018-17283
https://notcve.org/view.php?id=CVE-2018-17283
Zoho ManageEngine OpManager before 12.3 Build 123196 does not require authentication for /oputilsServlet requests, as demonstrated by a /oputilsServlet?action=getAPIKey request that can be leveraged against Firewall Analyzer to add an admin user via /api/json/v2/admin/addUser or conduct a SQL Injection attack via the /api/json/device/setManaged name parameter. Zoho ManageEngine OpManager en versiones anteriores a la 12.3 Build 123196 no requiere autenticación para las peticiones /oputilsServlet, tal y como queda demostrado con una petición /oputilsServlet?action=getAPIKey que puede aprovecharse contra Firewall Analyzer para añadir un usuario administrador mediante /api/json/v2/admin/addUser o llevar a cabo un ataque de inyección SQL mediante el parámetro name en /api/json/device/setManaged. • https://github.com/x-f1v3/ForCve/issues/4 https://www.manageengine.com/network-monitoring/help/read-me.html • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 1%CPEs: 1EXPL: 0CVE-2018-17243
https://notcve.org/view.php?id=CVE-2018-17243
Global Search in Zoho ManageEngine OpManager before 12.3 123205 allows SQL Injection. Global Search en Zoho ManageEngine OpManager en versiones anteriores a la 12.3 123205 permite la inyección SQL. • https://www.manageengine.com/network-monitoring/help/read-me.html • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 8EXPL: 0CVE-2015-9107
https://notcve.org/view.php?id=CVE-2015-9107
Zoho ManageEngine OpManager 11 through 12.2 uses a custom encryption algorithm to protect the credential used to access the monitored devices. The implemented algorithm doesn't use a per-system key or even a salt; therefore, it's possible to create a universal decryptor. Zoho ManageEngine OpManager 11 en su versión 12.2 utiliza un algoritmo de cifrado personalizado para proteger las credenciales utilizadas para acceder a los dispositivos monitorizados. El algoritmo implementado no utiliza una clave para cada sistema o incluso una semilla, por lo que es posible crear un descifrador universal. • https://github.com/theguly/DecryptOpManager • CWE-310: Cryptographic Issues •
CVSS: 9.0EPSS: 54%CPEs: 2EXPL: 3CVE-2015-7766 – ManageEngine OpManager - Remote Code Execution
https://notcve.org/view.php?id=CVE-2015-7766
PGSQL:SubmitQuery.do in ZOHO ManageEngine OpManager 11.6, 11.5, and earlier allows remote administrators to bypass SQL query restrictions via a comment in the query to api/json/admin/SubmitQuery, as demonstrated by "INSERT/**/INTO." PGSQL:SubmitQuery.do en ZOHO ManageEngine OpManager 11.6, 11.5 y anteriores permite a administradores remotos eludir las restricciones de consulta SQL a través de un comentario en la consulta a api/json/admin/SubmitQuery, según lo demostrado por 'INSERT/**/INTO'. • https://www.exploit-db.com/exploits/38221 http://packetstormsecurity.com/files/133596/ManageEngine-OpManager-Remote-Code-Execution.html http://seclists.org/fulldisclosure/2015/Sep/66 http://www.rapid7.com/db/modules/exploit/windows/http/manage_engine_opmanager_rce https://support.zoho.com/portal/manageengine/helpcenter/articles/pgsql-submitquery-do-vulnerability • CWE-264: Permissions, Privileges, and Access Controls •