Ejecución remota de código en Log360 de ManageEngine

Fecha de publicación:

02/11/2021

Importancia:

5 - Crítica

Recursos afectados:

ManageEngine Log360, versiones anteriores a la 5235.

Descripción:

Tenable ha reportado a ManageEngine una vulnerabilidad de severidad crítica que podría permitir a un atacante la ejecución remota de código.

Solución:

Actualizar a la versión 5235.

Detalle:

Una vulnerabilidad de control de acceso inadecuado podría permitir a un atacante ejecutar código de forma remota mediante el envío de un mensaje especialmente diseñado a Log360, que cambiaría la base de datos de este por otra controlada por el atacante. Esto podría resultar también en una condición de denegación de servicio, una omisión de autenticación o una omisión de restricción en la API REST. Se ha asignado el identificador CVE-2021-20136 para esta vulnerabilidad.

Referencias:

ManageEngine Log360 Database Configuration Overwrite Unauthenticated RCE

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Ejecución remota de código en Log360 de ManageEngine

Múltiples vulnerabilidades en Avalanche de Ivanti

Múltiples vulnerabilidades en productos de HPE

Vulnerabilidades XSS en el core de Drupal

Múltiples vulnerabilidades en TIBCO PartnerExpress

Múltiples vulnerabilidades en Moodle