CVSS: 7.5EPSS: 1%CPEs: 1EXPL: 3CVE-2019-15046 – Zoho Corporation ManageEngine ServiceDesk Plus Information Disclosure
https://notcve.org/view.php?id=CVE-2019-15046
Zoho ManageEngine ServiceDesk Plus 10 before 10509 allows unauthenticated sensitive information leakage during Fail Over Service (FOS) replication, aka SD-79989. Zoho ManageEngine ServiceDesk Plus 10 anteriores a la versión 10509, permite el filtrado de información confidencial no autenticada durante la replicación de Fail Over Service (FOS), también se conoce como SD-79989. Zoho Corporation ManageEngine ServiceDesk Plus 10 versions prior to 10509 suffer from an information leakage vulnerability. • http://packetstormsecurity.com/files/154183/Zoho-Corporation-ManageEngine-ServiceDesk-Plus-Information-Disclosure.html http://seclists.org/fulldisclosure/2019/Aug/17 https://seclists.org/bugtraq/2019/Aug/37 https://www.manageengine.com/products/service-desk/readme.html#10509 • CWE-287: Improper Authentication •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-12959
https://notcve.org/view.php?id=CVE-2019-12959
Server Side Request Forgery (SSRF) exists in Zoho ManageEngine AssetExplorer 6.2.0 and before for the ClientUtilServlet servlet via a URL in a parameter. Server Side Request Forgery (SSRF) existe en Zoho ManageEngine AssetExplorer versión 6.2.0 y anteriores para el servlet ClientUtilServlet a través de una URL en un parámetro. • https://excellium-services.com/cert-xlm-advisory/cve-2019-12959 • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 9.1EPSS: 0%CPEs: 1EXPL: 0CVE-2019-12994
https://notcve.org/view.php?id=CVE-2019-12994
Server Side Request Forgery (SSRF) exists in Zoho ManageEngine AssetExplorer version 6.2.0 for the AJaxServlet servlet via a parameter in a URL. Server Side Request Forgery (SSRF) existe en Zoho ManageEngine AssetExplorer versión 6.2.0 para el servlet AJaxServlet a través de un parámetro en una URL. • https://www.excellium-services.com/cert-xlm-advisory/CVE-2019-12994 • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 8.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-14693
https://notcve.org/view.php?id=CVE-2019-14693
Zoho ManageEngine AssetExplorer 6.2.0 is vulnerable to an XML External Entity Injection (XXE) attack when processing license XML data. A remote attacker could exploit this vulnerability to expose sensitive information or consume memory resources. Zoho ManageEngine AssetExplorer versión 6.2.0 es vulnerable a un ataque de inyección de entidad externa XML (XXE) cuando procesa datos XML de licencia. Un atacante remoto podría aprovechar esta vulnerabilidad para exponer información confidencial o consumir recursos de memoria. • https://www.excellium-services.com/cert-xlm-advisory/cve-2019-14693 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 8.5EPSS: 0%CPEs: 3EXPL: 1CVE-2019-12876
https://notcve.org/view.php?id=CVE-2019-12876
Zoho ManageEngine ADManager Plus 6.6.5, ADSelfService Plus 5.7, and DesktopCentral 10.0.380 have Insecure Permissions, leading to Privilege Escalation from low level privileges to System. Zoho ManageEngine ADManager Plus versión 6.6.5, ADSelfService Plus versión 5.7, y DesktopCentral versión 10.0.380 tiene permisos no seguros, lo que conlleva a una escalada de privilegios desde los privilegios de bajo nivel hasta el sistema. • http://www.securityfocus.com/bid/109298 https://www.criticalstart.com/2019/07/manageengine-privilege-escalation • CWE-732: Incorrect Permission Assignment for Critical Resource •