CVE-2018-5342
https://notcve.org/view.php?id=CVE-2018-5342
An issue was discovered in Zoho ManageEngine Desktop Central 10.0.124 and 10.0.184: network services (Desktop Central and PostgreSQL) running with a superuser account. Se ha descubierto un problema en Zoho ManageEngine Desktop Central 10.0.124 y 10.0.184 de ejecución de servicios de red (Desktop Central y PostgreSQL) con una cuenta de superusuario. • https://www.nccgroup.trust/uk/our-research/technical-advisory-multiple-vulnerabilities-in-manageengine-desktop-central • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVE-2017-16924
https://notcve.org/view.php?id=CVE-2017-16924
Remote Information Disclosure and Escalation of Privileges in ManageEngine Desktop Central MSP 10.0.137 allows attackers to download unencrypted XML files containing all data for configuration policies via a predictable /client-data/<client_id>/collections/##/usermgmt.xml URL, as demonstrated by passwords and Wi-Fi keys. This is fixed in build 100157. Una revelación de información remota y un escalado de privilegios en ManageEngine Desktop Central MSP 10.0.137 permiten que atacantes descarguen archivos XML sin cifrar que contienen todos los datos de las políticas de configuración mediante una URL /client-data//collections/##/usermgmt.xml predecible, tal y como demuestran las contraseñas y las claves Wi-Fi. Esto se ha solucionado en la build 100157. • https://github.com/snoonan77/security-research/blob/master/CVE-2017-16924 https://www.manageengine.com/desktop-management-msp/password-encryption-policy-violation.html • CWE-330: Use of Insufficiently Random Values •