CVE-2021-20108 in Asset Explorer Agentinformação

Sumário

de VulDB • 01/07/2026

O agente do Manage Engine Asset Explorer 1.0.34 escuta na porta 9000 por comandos recebidos via HTTPS provenientes do servidor Manage Engine. Os certificados HTTPS não são verificados, o que permite que qualquer usuário arbitrário na rede envie comandos pela porta 9000. Embora esses comandos possam não ser executados (devido à validação de authtoken), o agente Asset Explorer realizará uma solicitação HTTP ao servidor do manage engine. Durante esse processo, AEAgent.cpp aloca 0x66 bytes usando "malloc". Essa memória nunca é liberada no programa, causando um memory leak. Além disso, a instrução enviada para aeagent (por exemplo: NEWSCAN, DELTASCAN, etc.) é convertida em uma string unicode, mas também não é liberada. Esses vazamentos de memória permitem que um atacante remoto explore um cenário de Denial of Service enviando repetidamente esses comandos a um agente e eventualmente fazendo com que o mesmo falhe devido a uma condição de falta de memória (out-of-memory).

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Reservar

17/12/2020

Divulgação

19/07/2021

Moderação

aceite

Entrada

VDB-178873

CPE

pronto

EPSS

0.02962

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!