CVSS: 8.8EPSS: 0%CPEs: 5EXPL: 0CVE-2020-9346
https://notcve.org/view.php?id=CVE-2020-9346
Zoho ManageEngine Password Manager Pro 10.4 and prior has no protection against Cross-site Request Forgery (CSRF) attacks, as demonstrated by changing a user's role. Zoho ManageEngine Password Manager Pro versiones 10.4 y anteriores, no poseen protección contra ataques de tipo Cross-site Request Forgery (CSRF), como es demostrado al cambiar el rol del usuario. • https://www.infigo.hr/upload/web_struktura/Zoho_ManageEngine_Password_Manager_Pro_10.4_CSRF.txt https://www.manageengine.com/products/passwordmanagerpro/issues-fixed.html • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.3EPSS: 0%CPEs: 11EXPL: 1CVE-2019-19799
https://notcve.org/view.php?id=CVE-2019-19799
Zoho ManageEngine Applications Manager before 14600 allows a remote unauthenticated attacker to disclose license related information via WieldFeedServlet servlet. Zoho ManageEngine Applications Manager anterior a la versión 14600 permite que un atacante remoto no autenticado revele información relacionada con la licencia a través del servlet WieldFeedServlet. • https://gitlab.com/eLeN3Re/cve-2019-19799 https://www.manageengine.com/products/applications_manager/security-updates/security-updates-cve-2019-19799.html • CWE-306: Missing Authentication for Critical Function •
CVSS: 9.8EPSS: 1%CPEs: 1EXPL: 0CVE-2020-10541
https://notcve.org/view.php?id=CVE-2020-10541
Zoho ManageEngine OpManager before 12.4.179 allows remote code execution via a specially crafted Mail Server Settings v1 API request. This was fixed in 12.5.108. Zoho ManageEngine OpManager versiones anteriores a 12.4.179, permite una ejecución de código remota por medio de una petición especialmente diseñada de la API Mail Server Settings v1. Esto fue corregido en la versión 12.5.108. • https://www.manageengine.com/network-monitoring/help/read-me-complete.html#125108 •
CVSS: 9.8EPSS: 2%CPEs: 1EXPL: 0CVE-2020-8540
https://notcve.org/view.php?id=CVE-2020-8540
An XML external entity (XXE) vulnerability in Zoho ManageEngine Desktop Central before the 07-Mar-2020 update allows remote unauthenticated users to read arbitrary files or conduct server-side request forgery (SSRF) attacks via a crafted DTD in an XML request. Una vulnerabilidad de tipo XML external entity (XXE) en Zoho ManageEngine Desktop Central antes de la actualización del 07-Mar-2020, permite a usuarios no autenticados remotos leer archivos arbitrarios o dirigir ataques de tipo server-side request forgery (SSRF) por medio de un DTD especialmente diseñado en una petición XML. • https://www.manageengine.com/products/desktop-central/xxe-vulnerability.html • CWE-611: Improper Restriction of XML External Entity Reference CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 6.5EPSS: 0%CPEs: 4EXPL: 0CVE-2016-1159
https://notcve.org/view.php?id=CVE-2016-1159
In ZOHO Password Manager Pro (PMP) 8.3.0 (Build 8303) and 8.4.0 (Build 8400,8401,8402), underprivileged users can obtain sensitive information (entry password history) via a vulnerable hidden service. En ZOHO Password Manager Pro (PMP) versiones 8.3.0 (Build 8303) y 8.4.0 (Build 8400,8401,8402), unos usuarios no privilegiados pueden obtener información confidencial (historial de contraseñas de entrada) por medio de un servicio oculto vulnerable. • http://jvn.jp/vu/JVNVU90405898/index.html https://excellium-services.com/cert-xlm-advisory/cve-2016-1159 https://www.manageengine.com/products/passwordmanagerpro/issues-fixed.html https://www.manageengine.com/products/passwordmanagerpro/release-notes.html • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •