Zoho ManageEngine ADSelfService Plus bis 5.7 Self-Update Layout Cross Site Scripting
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.0 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine als problematisch klassifizierte Schwachstelle in Zoho ManageEngine ADSelfService Plus bis 5.7 entdeckt. Dabei betrifft es einen unbekannter Codeteil der Komponente Self-Update Layout. Die Manipulation führt zu Cross Site Scripting. Die Identifikation der Schwachstelle wird mit CVE-2018-20484 vorgenommen. Der Angriff kann über das Netzwerk passieren. Ferner existiert ein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
Eine problematische Schwachstelle wurde in Zoho ManageEngine ADSelfService Plus bis 5.7 entdeckt. Dies betrifft ein unbekannter Teil der Komponente Self-Update Layout. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-79. Das hat Auswirkungen auf die Integrität. CVE fasst zusammen:
Zoho ManageEngine ADSelfService Plus 5.7 before build 5702 has XSS in the self-update layout implementation.Entdeckt wurde das Problem am 10.12.2018. Die Schwachstelle wurde am 26.12.2018 (Website) veröffentlicht. Das Advisory kann von manageengine.com heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 26.12.2018 als CVE-2018-20484 statt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1059.007.
Der Download des Exploits kann von exploit-db.com geschehen. Er wird als proof-of-concept gehandelt. Dabei muss 16 Tage als nicht veröffentlichte Zero-Day Schwachstelle ausgegangen werden. Während dieser Zeit erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 371391 (Zoho ManageEngine ADSelfService Plus Cross Site Scripting (XSS) Vulnerability) zur Prüfung der Schwachstelle an.
Ein Upgrade auf die Version 5.7 Build 5702 vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Exploit-DB (46815) dokumentiert. Die Einträge VDB-128433 und VDB-132037 sind sehr ähnlich. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Produkt
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.manageengine.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.2VulDB Meta Temp Score: 5.0
VulDB Base Score: 4.3
VulDB Temp Score: 3.9
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 6.1
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Qualys ID: 🔍
Qualys Name: 🔍
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: ADSelfService Plus 5.7 Build 5702
Timeline
10.12.2018 🔍26.12.2018 🔍
26.12.2018 🔍
26.12.2018 🔍
26.12.2018 🔍
31.08.2025 🔍
Quellen
Hersteller: manageengine.comAdvisory: 152793
Status: Bestätigt
CVE: CVE-2018-20484 (🔍)
GCVE (CVE): GCVE-0-2018-20484
GCVE (VulDB): GCVE-100-128432
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 26.12.2018 21:52Aktualisierung: 31.08.2025 20:54
Anpassungen: 26.12.2018 21:52 (61), 24.04.2020 12:42 (1), 22.06.2023 08:51 (4), 31.08.2025 20:54 (23)
Komplett: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.