支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2021-37415 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
Zoho ManageEngine ServiceDesk Plus在11302版本之前存在身份验证绕过漏洞,允许某些REST-API URL在无需身份验证的情况下被访问。

## 影响版本
- ServiceDesk Plus 版本低于 11302

## 漏洞细节
部分REST-API URL在无需身份验证的情况下即可被访问,导致攻击者可能利用此漏洞进行未经授权的操作。

## 影响
攻击者可能绕过身份验证,访问或操作受保护的资源和数据。
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞存在于Zoho ManageEngine ServiceDesk Plus版本11302之前的web服务端,该漏洞允许某些REST-API URL在没有进行身份验证的情况下被访问,这是一个典型的服务端安全问题,因为它涉及到服务端对请求的处理不当,导致潜在的安全风险。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Zoho ManageEngine ServiceDesk Plus before 11302 is vulnerable to authentication bypass that allows a few REST-API URLs without authentication.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
ZOHO ManageEngine ServiceDesk Plus 访问控制错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
ZOHO ManageEngine ServiceDesk Plus(SDP)是美国卓豪(ZOHO)公司的一套基于ITIL架构的IT服务管理软件。该软件集成了事件管理、问题管理、资产管理IT项目管理、采购与合同管理等功能模块。 Zoho ManageEngine ServiceDesk Plus 存在访问控制错误漏洞,该漏洞源于产品中的一些API缺少验证限制。攻击者可通过该漏洞在没有鉴权的情况下访问敏感链接。以下产品及版本受到影响:Zoho ManageEngine ServiceDesk Plus 11
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2021-37415 的公开POC
#POC 描述源链接神龙链接
1Zoho ManageEngine ServiceDesk Plus before 11302 is vulnerable to authentication bypass that allows a few REST-API URLs without authentication. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2021/CVE-2021-37415.yamlPOC详情
三、漏洞 CVE-2021-37415 的情报信息
四、漏洞 CVE-2021-37415 的评论

暂无评论

发表评论