ManageEngine Password Manager Pro searchtext Script Injection

EintraganpassenHistoryDiffjsonxmlCTI

In Zoho ManageEngine Password Manager Pro bis Build 6104 wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Dabei geht es um ein unbekannter Codeteil. Ein Aktualisieren vermag dieses Problem zu lösen. Die Schwachstelle lässt sich auch durch das Einspielen eines Patches lösen. Dieser kann von manageengine.com bezogen werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen.

Zeitverlauf

Benutzer

Feld

Commit Conf

Approve Conf

IDÜbermitteltBenutzerFeldÄnderungBemerkungModeriertErklärungC
34211408.10.2018VulD...cwe80 (Cross Site Scripting)08.10.2018akzeptiert
90
34212315.12.2009VulD...cvss3_vuldb_prLsee CVSS documentation15.12.2009akzeptiert
60
34212215.12.2009VulD...cvss2_vuldb_auSsee CVSS documentation15.12.2009akzeptiert
60
34212115.12.2009VulD...cvss3_vuldb_rcXsee CVSS documentation15.12.2009akzeptiert
90
34212015.12.2009VulD...cvss3_vuldb_rlOsee CVSS documentation15.12.2009akzeptiert
90
34211915.12.2009VulD...cvss3_vuldb_eXsee CVSS documentation15.12.2009akzeptiert
90
34211815.12.2009VulD...cvss2_vuldb_rcNDsee CVSS documentation15.12.2009akzeptiert
90
34211715.12.2009VulD...cvss2_vuldb_rlOFsee CVSS documentation15.12.2009akzeptiert
90
34211615.12.2009VulD...cvss2_vuldb_eNDsee CVSS documentation15.12.2009akzeptiert
90
34211515.12.2009VulD...locationWebsite15.12.2009akzeptiert
90
34211315.12.2009VulD...expertDie vorliegende Lücke ist aufgrund der Kritikalität der zugrundeliegenden Daten als kritisch zu betrachten. Angreifer können durch eine erfolgreiche Attacke in den Besitz sensitiver Passwortdaten kommen. Ebenso lässt sich die Lücke problemlos auch für unauthentisierte Benutzer im Rahmen einer Phishing Attacke ausnutzen - der Schadcode wird in diesem Fall zwischengespeichert und nach dem erfolgreichen Login zur Ausführung gebracht. Betroffene Benutzer sollten zeitnah um das Einspielen eines entsprechenden Patches bemüht sein.15.12.2009akzeptiert
100
34211215.12.2009VulD...descriptionPasswordManager Pro ist eine Software zur Verwaltung von Passwörtern innerhalb eines Unternehmens. Passwörter können zentral gespeichert und durch authentisierte Benutzer bei Bedarf abgerufen werden. Stefan Friedli der scip AG identfizierte eine Schwachstelle in aktuellen Versionen (bis Build 6104) der Applikation, bei der durch die fehlende Validierung des GET Parameters "searchtext" beliebiger Scriptcode im Kontext der Applikation zur Ausführung gebracht werden kann. Angreifer können auf diesem Wege in den Besitz sensitiver Daten, inklusive Passwörter, gelangen.15.12.2009akzeptiert
100
34211115.12.2009VulD...affectedManageEngine Password Manager Pro bis Build 610415.12.2009akzeptiert
100
34211015.12.2009VulD...titleManageEngine Password Manager Pro searchtext Script Injection15.12.2009akzeptiert
100
34210915.12.2009VulD...patch_urlhttp://www.manageengine.com/products/passwordmanagerpro/upgradepack.htmlmanageengine.com15.12.2009akzeptiert
100
34210815.12.2009VulD...nameUpgrade15.12.2009akzeptiert
100
34210715.12.2009VulD...price_0day$5k-$25ksee exploit price documentation15.12.2009akzeptiert
100
34210615.12.2009VulD...company_namescip AG15.12.2009akzeptiert
100
34210515.12.2009VulD...person_websitehttps://www.scip.ch15.12.2009akzeptiert
100
34210415.12.2009VulD...person_mailstfr@****.**15.12.2009akzeptiert
100

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!