ГлавнаяБаза уязвимостей БДУ → BDU:2023-01121
9критическая

BDU:2023-01121 (CVE-2021-44515)

Уязвимость компонента AgentLogUploadServlet программного средства для управления рабочими местами через web-интерфейс ManageEngine Desktop Central и средства удаленного мониторинга и управления настольными ПК, серверами, ноутбуками и мобильными устройствами ManageEngine Endpoint Central MSP (ранее ManageEngine Desktop Central MSP), позволяющая нарушителю обойти ограничения безопасности и выполнить произвольный код
Опубликовано: 2023-03-07
Описание

Уязвимость компонента AgentLogUploadServlet программного средства для управления рабочими местами через web-интерфейс ManageEngine Desktop Central и средства удаленного мониторинга и управления настольными ПК, серверами, ноутбуками и мобильными устройствами ManageEngine Endpoint Central MSP (ранее ManageEngine Desktop Central MSP) связана с неверным ограничением имени пути к каталогу с ограниченным доступом при обработке параметра computerName. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и выполнить произвольный код

Затрагиваемое ПО и версии
ManageEngine Desktop Central (до 10.1.2137.2)ManageEngine Endpoint Central MSP (до 10.1.2137.2)
Способ устранения

Использование рекомендаций:
https://srcincite.io/blog/2022/01/20/zohowned-a-critical-authentication-bypass-on-zoho-manageengine-desktop-central.html

Оценка CVSS
Балл9 — критическая опасность
Источники и патчи
https://srcincite.io/blog/2022/01/20/zohowned-a-critical-authentication-bypass-on-zoho-manageengine-desktop-central.htmlhttps://attackerkb.com/topics/rJw4DFI2RQ/cve-2021-44515/rapid7-analysishttps://pitstop.manageengine.com/portal/en/community/topic/an-authentication-bypass-vulnerability-identified-and-fixed-in-desktop-central-and-desktop-central-msphttps://www.ic3.gov/Media/News/2021/211220.pdf
Проверьте безопасность своего сайта и почты → Полная проверка домена