CVE-2019-18781
https://notcve.org/view.php?id=CVE-2019-18781
An open redirect vulnerability was discovered in Zoho ManageEngine ADSelfService Plus 5.x before 5809 that allows attackers to force users who click on a crafted link to be sent to a specified external site. Se detectó una vulnerabilidad de redireccionamiento abierto en Zoho ManageEngine ADSelfService Plus versiones 5.x anteriores a 5809, lo que permite a atacantes obligar a usuarios que hacen clic en un enlace diseñado a ser enviados a un sitio externo específico. • https://pitstop.manageengine.com/portal/community/topic/adselfservice-plus-5809-release https://www.manageengine.com/products/self-service-password/release-notes.html • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVE-2019-18411
https://notcve.org/view.php?id=CVE-2019-18411
Zoho ManageEngine ADSelfService Plus 5.x through 5803 has CSRF on the users' profile information page. Users who are attacked with this vulnerability will be forced to modify their enrolled information, such as email and mobile phone, unintentionally. Attackers could use the reset password function and control the system to send the authentication code back to the channel that the attackers own. Zoho ManageEngine ADSelfService Plus versiones 5.x hasta 5803, presenta una vulnerabilidad de tipo CSRF en la página de información de perfil de los usuarios. Los usuarios que son atacados con esta vulnerabilidad serán obligados a modificar su información registrada, tal y como correo electrónico y teléfono móvil, involuntariamente. • https://gist.github.com/aliceicl/e32fb4a17277c7db9e0256185ac03dae • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2019-12876
https://notcve.org/view.php?id=CVE-2019-12876
Zoho ManageEngine ADManager Plus 6.6.5, ADSelfService Plus 5.7, and DesktopCentral 10.0.380 have Insecure Permissions, leading to Privilege Escalation from low level privileges to System. Zoho ManageEngine ADManager Plus versión 6.6.5, ADSelfService Plus versión 5.7, y DesktopCentral versión 10.0.380 tiene permisos no seguros, lo que conlleva a una escalada de privilegios desde los privilegios de bajo nivel hasta el sistema. • http://www.securityfocus.com/bid/109298 https://www.criticalstart.com/2019/07/manageengine-privilege-escalation • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVE-2019-8346
https://notcve.org/view.php?id=CVE-2019-8346
In Zoho ManageEngine ADSelfService Plus 5.x through 5704, an authorization.do cross-site Scripting (XSS) vulnerability allows for an unauthenticated manipulation of the JavaScript code by injecting the HTTP form parameter adscsrf. An attacker can use this to capture a user's AD self-service password reset and MFA token. En Zoho ManageEngine ADSelfService Plus versión 5.x hasta 5704, una vulnerabilidad de tipo cross-site Scripting (XSS) en el archivo authorization.do permite una manipulación no autenticada del código JavaScript inyectando el formulario HTTP en el parametro adscsrf. Un atacante puede utilizar esto para capturar el restablecimiento de la contraseña de autoservicio AD de un usuario y el token MFA. • https://www.manageengine.com/products/self-service-password/release-notes.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2019-11511
https://notcve.org/view.php?id=CVE-2019-11511
Zoho ManageEngine ADSelfService Plus before build 5708 has XSS via the mobile app API. Zoho ManageEngine ADSelfService Plus, en versiones anteriores del build 5708, es vulnerable a un XSS a través de la API de aplicaciones móviles. • https://www.manageengine.com/products/self-service-password/release-notes.html#5708 https://zeroauth.ltd/blog/2019/05/26/cve-2019-11511-zoho-manageengine-adselfservice-plus-xss • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •