Der Wert eines Parameters in der Service Desk Applikation „ManageEngine ServiceDesk Plus“ der Zoho Corporation wird ungefiltert wiedergegeben, was einem Angreifer erlaubt, beliebigen JavaScript Code auszuführen. Der JavaScript Code wird nicht gespeichert, sondern ist „reflected“. Der Parameter ist nur als Administrator vorhanden, was die Ausnutzung in diesem authentifizierten Kontext beschränkt.
Zum ausführlichen Security-Advisory (Englisch)
Security Research: Johannes Kruchem / @2020
Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung. Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.