ManageEngine ServiceDesk Plus (SDP) / SupportCenter Plus

Die Schwachstelle betrifft die IT-Service-Management-Software ManageEngine ServiceDesk Plus von Zoho sowie die Varianten ServiceDesk Plus MSP und SupportCenter Plus. Der Defekt erlaubt eine Remotecodeausführung ohne vorherige Anmeldung: Ein Angreifer kann aus der Ferne und ohne gültige Zugangsdaten eigenen Code auf dem betroffenen System ausführen. Ursache ist eine fehlerhafte Behandlung bestimmter Anfragen an die REST-Programmierschnittstelle der Anwendung, die über ein Servlet bereitgestellt wird, in Verbindung mit der Komponente zum Importieren von Technikerkonten in der zugrunde liegenden Struts-Konfiguration. Über diesen Weg lässt sich die Anwendung dazu bringen, von außen eingeschleusten Code auszuführen. Da diese Produkte als zentrale Help-Desk- und Support-Plattformen oft mit weitreichenden Rechten im Unternehmensnetz betrieben werden und ihre Web-Schnittstelle häufig erreichbar ist, eröffnet eine erfolgreiche Ausnutzung dem Angreifer einen tiefgreifenden Zugriff auf das betroffene System.