ManageEngine Password Manager Pro searchtext Script Injection

EintraganpassenHistoryDiffjsonxmlCTI

In Zoho ManageEngine Password Manager Pro bis Build 6104 wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Dabei geht es um ein unbekannter Codeteil. Ein Aktualisieren vermag dieses Problem zu lösen. Die Schwachstelle lässt sich auch durch das Einspielen eines Patches lösen. Dieser kann von manageengine.com bezogen werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen.

Feld15.12.2009 10:4108.10.2018 14:55
smsssmSS 19. Dezember 2009smSS 19. Dezember 2009
vendorZoho ManageEngineZoho ManageEngine
namePassword Manager ProPassword Manager Pro
version<=Build 6104<=Build 6104
risk22
simplicity7070
popularity8080
cvss2_vuldb_basescore6.06.0
cvss2_vuldb_tempscore5.25.2
cvss2_vuldb_avNN
cvss2_vuldb_acMM
cvss2_vuldb_ciPP
cvss2_vuldb_iiPP
cvss2_vuldb_aiPP
cvss3_meta_basescore5.55.5
cvss3_meta_tempscore5.35.3
cvss3_vuldb_basescore5.55.5
cvss3_vuldb_tempscore5.35.3
cvss3_vuldb_avNN
cvss3_vuldb_acLL
cvss3_vuldb_uiRR
cvss3_vuldb_sUU
cvss3_vuldb_cLL
cvss3_vuldb_iLL
cvss3_vuldb_aLL
date1260835200 (15.12.2009)1260835200 (15.12.2009)
urlhttps://www.scip.ch/publikationen/advisories/scip_advisory-4063_manageengine_pmp_script_injection.txthttps://www.scip.ch/publikationen/advisories/scip_advisory-4063_manageengine_pmp_script_injection.txt
person_nameStefan FriedliStefan Friedli
person_mailstfr@scip.chstfr@scip.ch
person_websitehttps://www.scip.chhttps://www.scip.ch
company_namescip AGscip AG
price_0day$5k-$25k$5k-$25k
nameUpgradeUpgrade
patch_urlhttp://www.manageengine.com/products/passwordmanagerpro/upgradepack.htmlhttp://www.manageengine.com/products/passwordmanagerpro/upgradepack.html
titleManageEngine Password Manager Pro searchtext Script InjectionManageEngine Password Manager Pro searchtext Script Injection
affectedManageEngine Password Manager Pro bis Build 6104ManageEngine Password Manager Pro bis Build 6104
descriptionPasswordManager Pro ist eine Software zur Verwaltung von Passwörtern innerhalb eines Unternehmens. Passwörter können zentral gespeichert und durch authentisierte Benutzer bei Bedarf abgerufen werden. Stefan Friedli der scip AG identfizierte eine Schwachstelle in aktuellen Versionen (bis Build 6104) der Applikation, bei der durch die fehlende Validierung des GET Parameters "searchtext" beliebiger Scriptcode im Kontext der Applikation zur Ausführung gebracht werden kann. Angreifer können auf diesem Wege in den Besitz sensitiver Daten, inklusive Passwörter, gelangen.PasswordManager Pro ist eine Software zur Verwaltung von Passwörtern innerhalb eines Unternehmens. Passwörter können zentral gespeichert und durch authentisierte Benutzer bei Bedarf abgerufen werden. Stefan Friedli der scip AG identfizierte eine Schwachstelle in aktuellen Versionen (bis Build 6104) der Applikation, bei der durch die fehlende Validierung des GET Parameters "searchtext" beliebiger Scriptcode im Kontext der Applikation zur Ausführung gebracht werden kann. Angreifer können auf diesem Wege in den Besitz sensitiver Daten, inklusive Passwörter, gelangen.
expertDie vorliegende Lücke ist aufgrund der Kritikalität der zugrundeliegenden Daten als kritisch zu betrachten. Angreifer können durch eine erfolgreiche Attacke in den Besitz sensitiver Passwortdaten kommen. Ebenso lässt sich die Lücke problemlos auch für unauthentisierte Benutzer im Rahmen einer Phishing Attacke ausnutzen - der Schadcode wird in diesem Fall zwischengespeichert und nach dem erfolgreichen Login zur Ausführung gebracht. Betroffene Benutzer sollten zeitnah um das Einspielen eines entsprechenden Patches bemüht sein.Die vorliegende Lücke ist aufgrund der Kritikalität der zugrundeliegenden Daten als kritisch zu betrachten. Angreifer können durch eine erfolgreiche Attacke in den Besitz sensitiver Passwortdaten kommen. Ebenso lässt sich die Lücke problemlos auch für unauthentisierte Benutzer im Rahmen einer Phishing Attacke ausnutzen - der Schadcode wird in diesem Fall zwischengespeichert und nach dem erfolgreichen Login zur Ausführung gebracht. Betroffene Benutzer sollten zeitnah um das Einspielen eines entsprechenden Patches bemüht sein.
locationWebsiteWebsite
cvss2_vuldb_eNDND
cvss2_vuldb_rlOFOF
cvss2_vuldb_rcNDND
cvss3_vuldb_eXX
cvss3_vuldb_rlOO
cvss3_vuldb_rcXX
cvss2_vuldb_auSS
cvss3_vuldb_prLL
cwe080 (Cross Site Scripting)

Want to stay up to date on a daily basis?

Enable the mail alert feature now!