Reflected XSS In Zoho Manageengine Servicedesk Plus

Title

Reflected XSS

Product

ZOHO Manageengine ServiceDesk Plus

Vulnerable Version

<= 11.0 Build 11007

Fixed Version

11.0 Build 11010

CVE Number

CVE-2020-6843

Impact

medium

Found

11.30.2019

By

Johannes Kruchem (Office Vienna) | SEC Consult Vulnerability Lab

Der Wert eines Parameters in der Service Desk Applikation „ManageEngine ServiceDesk Plus“ der Zoho Corporation wird ungefiltert wiedergegeben, was einem Angreifer erlaubt, beliebigen JavaScript Code auszuführen. Der JavaScript Code wird nicht gespeichert, sondern ist „reflected“. Der Parameter ist nur als Administrator vorhanden, was die Ausnutzung in diesem authentifizierten Kontext beschränkt.

Zum ausführlichen Security-Advisory (Englisch)

Security Research: Johannes Kruchem / @2020

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung. Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.