CVE-2024-2370

CRÍTIC: (9,8)

CVSS3: 8,5

ManageEngine Desktop Central podria permetre que un atacant remot carregui fitxers arbitraris, causats per la validació incorrecta de les extensions de fitxer. En enviar una sol·licitud HTTP especialment dissenyada, un atacant remot podria explotar aquesta vulnerabilitat per carregar un script PHP maliciós, que podria permetre a l’atacant executar codi PHP arbitrari al sistema vulnerable.

Sistemes Afectats

• Zoho ManageEngine Desktop Central 9 build 90055

Remediació
Actualitzeu a la darrera versió de ManageEngine Desktop Central, disponible al lloc web de ManageEngine. Vegeu-ne les Referències.

Referències

• Unrestricted file upload vulnerability in ManageEngine Desktop Central
• Endpoint managementsecurityanalyticsautomationintelligence to propel your digital workplace
• Unrestricted file upload vulnerability in ManageEngine Desktop Central affecting version 9, build 90055. This vulnerability could allow a remote attacker to upload a malicious file to the system without any credentials provided.