CVE-2018-18980

An XML External Entity injection (XXE) vulnerability exists in Zoho ManageEngine Network Configuration Manager and OpManager before 12.3.214 via the RequestXML parameter in a /devices/ProcessRequest.do GET request. For example, the attacker can trigger the transmission of local files to an arbitrary remote FTP server.

An XML External Entity injection (XXE) vulnerability exists in Zoho ManageEngine Network Configuration Manager and OpManager before 12.3.214 via the RequestXML parameter in a /devices/ProcessRequest.do GET request. For example, the attacker can trigger the transmission of local files to an arbitrary remote FTP server.

Existe una vulnerabilidad XEE (XML External Entity) en Zoho ManageEngine Network Configuration Manager y OpManager en versiones anteriores a la 12.3.214 mediante el parámetro RequestXML en una petición GET en /devices/ProcessRequest.do. Por ejemplo, el atacante puede desencadenar la transmisión de archivos locales a un servidor FTP remoto arbitrario.