Sintesi

Rilevata nuova vulnerabilità di sicurezza con gravità “critica” – già sanata dal vendor – nel prodotto ManageEngine Desktop Central di Zoho. Tale vulnerabilità, qualora sfruttata, potrebbe permettere il caricamento arbitrario di file opportunamente predisposti sui sistemi interessati.

Tipologia

• Arbitrary Code Execution
• Unrestricted File Upload

Prodotti e versioni affette

ManageEngine Desktop Central, versione 9, build 90055

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Identificatori univoci vulnerabilità

CVE-2024-2370

Riferimenti

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-de-subida-de-ficheros-sin-restriccion-en-manageengine-desktop

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.