El equipo de Ciberseguridad de Smart Global informa que ManageEngine, ha publicado una vulnerabilidad de gravedad alta, hallada en sus productos ServiceDesk Plus. A continuación, detallaremos la vulnerabilidad.
CVE-2022-35403 Unauthenticated local file disclosure vulnerability in ServiceDesk Plus
Esta vulnerabilidad de divulgación de archivos permite a los usuarios sin autenticación descargar archivos locales del servidor ServiceDesk Plus, ServiceDesk Plus MSP y SupportCenter Plus mediante el envío de un correo electrónico diseñado para la creación de tickets. La misma vulnerabilidad también afecta a AssetExplorer, que tiene una gravedad media, ya que necesita autenticación para explotar.
Severidad:HIGH
PRODUCTO |
VERSIONES AFECTADAS |
VERSIONES NO AFECTADAS |
ServiceDesk Plus |
< 13007 |
13008 |
ServiceDesk Plus MSP |
< 10605 |
10606 |
SupportCenter Plus |
< 11021
|
11022
|
AssetExplorer |
< 6976
|
6977
|
Solución:
Los clientes que tengan una versión de ServiceDesk Plus afectada por la vulnerabilidad, según el cuadro anterior, deberán actualizar su herramienta a una versión no afectada. Consultar el siguiente enlace para obtener información de las versiones de actualización.
https://www.manageengine.com/products/service-desk-msp/service-packs-hotfix.html
Fuente:https://www.manageengine.com/products/service-desk/cve-2022-35403.html