CVSS: 7.0EPSS: 0%CPEs: 1EXPL: 2CVE-2018-19374 – Zoho ManageEngine ADManager Plus 6.6 (Build < 6659) - Privilege Escalation
https://notcve.org/view.php?id=CVE-2018-19374
Zoho ManageEngine ADManager Plus 6.6 Build 6657 allows local users to gain privileges (after a reboot) by placing a Trojan horse file into the permissive bin directory. Zoho ManageEngine ADManager Plus versión 6.6 compilación 6657, permite a los usuarios locales conseguir privilegios (después reiniciar) al colocar un archivo de troyano en el directorio bin permisivo. Zoho ManageEngine ADManager Plus version 6.6 builds prior to 6659 suffer from a privilege escalation vulnerability. • https://www.exploit-db.com/exploits/46707 https://research.digitalinterruption.com/2019/04/15/privilege-escalation-in-manageengine-admanager-plus-6 • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 3CVE-2019-10273 – ManageEngine ServiceDesk Plus 9.3 - User Enumeration
https://notcve.org/view.php?id=CVE-2019-10273
Information leakage vulnerability in the /mc login page in ManageEngine ServiceDesk Plus 9.3 software allows authenticated users to enumerate active users. Due to a flaw within the way the authentication is handled, an attacker is able to login and verify any active account. Una vulnerabilidad de fuga de información en la página de inicio de sesión /mc en el software ManageEngine ServiceDesk Plus 9.3 permite a los usuarios autenticados enumerar los usuarios activos. Debido a un error en la manera en la que se gestiona la autenticación, un atacante es capaz de iniciar sesión y verificar cualquier cuenta activa. ManageEngine ServiceDesk Plus version 9.3 suffers from a user enumeration vulnerability. • https://www.exploit-db.com/exploits/46674 http://packetstormsecurity.com/files/152439/ManageEngine-ServiceDesk-Plus-9.3-User-Enumeration.html https://0x445.github.io/CVE-2019-10273 • CWE-287: Improper Authentication •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2017-9362
https://notcve.org/view.php?id=CVE-2017-9362
ManageEngine ServiceDesk Plus before 9312 contains an XML injection at add Configuration items CMDB API. ManageEngine ServiceDesk Plus en sus versiones anteriores a la 9312 contiene una inyección XML en los ítems de adición de configuración de la API CMDB. • https://labs.integrity.pt/advisories/cve-2017-9362 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 1CVE-2017-9376
https://notcve.org/view.php?id=CVE-2017-9376
ManageEngine ServiceDesk Plus before 9314 contains a local file inclusion vulnerability in the defModule parameter in DefaultConfigDef.do and AssetDefaultConfigDef.do. ManageEngine ServiceDesk Plus en sus versiones anteriores a la 9314 contiene una vulnerabilidad de inclusión de archivo local en el parámetro defModule en DefaultConfigDef.do y AssetDefaultConfigDef.do. • http://www.securityfocus.com/bid/107558 https://labs.integrity.pt/advisories/cve-2017-9376 • CWE-20: Improper Input Validation •
CVSS: 7.5EPSS: 1%CPEs: 103EXPL: 0CVE-2019-7161
https://notcve.org/view.php?id=CVE-2019-7161
An issue was discovered in Zoho ManageEngine ADSelfService Plus 5.x through build 5704. It uses fixed ciphering keys to protect information, giving the capacity for an attacker to decipher any protected data. Se ha descubierto un problema en Zoho ManageEngine ADSelfService Plus, en versiones 5.x hasta la Build 5704. Emplea claves de cifrado fijas para proteger la información, otorgando a un atacante la capacidad de descifrar cualquier dato protegido. • https://www.excellium-services.com/cert-xlm-advisory/cve-2019-7161 https://www.manageengine.com/products/self-service-password/release-notes.html • CWE-798: Use of Hard-coded Credentials •