ManageEngine ServiceDesk Plus (SDP)

Die Schwachstelle betrifft das IT-Service-Management-System ManageEngine ServiceDesk Plus (SDP) von Zoho. Es handelt sich um eine Umgehung der Authentifizierung: Bestimmte URLs der REST-Programmierschnittstelle (REST-API) lassen sich aufrufen, ohne dass zuvor eine Anmeldung erforderlich ist. Dadurch kann ein Angreifer auf diese Schnittstellen zugreifen, obwohl der Zugriff eigentlich nur angemeldeten Benutzern vorbehalten sein sollte. Da die betroffenen API-Endpunkte ohne gültige Zugangsdaten erreichbar sind, lässt sich die Lücke aus der Ferne ausnutzen, sofern die Anwendung über das Netz erreichbar ist. Betroffen sind Organisationen, die ServiceDesk Plus für ihre IT-Service- und Helpdesk-Prozesse einsetzen, da über die freigelegten Schnittstellen unautorisiert auf Funktionen oder Daten der Anwendung zugegriffen werden kann, die normalerweise durch die Anmeldung geschützt wären.