CVE-2023-47211

CRÍTIC: (9,1)

CVSS3: 7,9

ManageEngine OpManager podria permetre que un atacant remot autenticat salti o creui directoris del sistema, fet causat per una validació incorrecta de les sol·licituds dels usuaris per part de la funcionalitat uploadMib. Un atacant podria enviar una sol·licitud d’URL especialment dissenyada que contingui seqüències de “punts” (/../) per crear fitxers arbitraris al sistema.

Sistemes Afectats

• Zoho ManageEngine OpManager 127259
• Zoho ManageEngine OpManager Plus 127259
• Zoho ManageEngine OpManager MSP 127259
• Zoho ManageEngine Network Configuration Manager 127259
• Zoho ManageEngine NetFlow Analyzer 127259
• Zoho ManageEngine Firewall Analyzer 127259
• Zoho ManageEngine OpUtils 127259

Remediació
Consulteu el lloc web de ManageEngine per obtenir informació sobre pedaços, actualitzacions o solucions alternatives suggerides. Vegeu-ne les Referències.

Referències

• ManageEngine OpManager uploadMib directory traversal vulnerability
• Path traversal vulnerability – CVE-2023-47211