Desktop Central 100482 vulnerabilidad cve 2020-10859

En este articulo veremos la forma de poder mitigar esta vulnerabilidad de forma rapida y sencilla.

Este aviso de seguridad aborda la vulnerabilidad de carga arbitraria de archivos en Desktop Central (CVE 2020-10859) y Mobile Device Manager Plus. Lea este aviso de seguridad completo para comprender las implicaciones de esta vulnerabilidad, así como los pasos para fortalecer su red contra ella.   

Problema: vulnerabilidad de carga arbitraria de archivos

¿Cual es el problema? Los productos permiten a los usuarios cargar archivos de dependencia de aplicaciones de Windows en formato ZIP en el servidor del producto. Las versiones anteriores tenían una vulnerabilidad que permitía a los usuarios malintencionados cargar un archivo ZIP especialmente diseñado sin una validación adecuada, lo que les permitía potencialmente guardar archivos en cualquier ubicación.

¿A quién afecta? Los usuarios que ejecutan cualquiera de las versiones a continuación corren el riesgo de explotar esta vulnerabilidad. 

 

Producto

Versiones de compilación afectadas

Desktop Central 

Debajo de construir 100482

Desktop Central MSP  

Debajo de construir 100482

Mobile Device Manager Plus

Entre las versiones 92343 (lanzadas el 16 de mayo de 2018) y 92788 (lanzadas el 22 de marzo de 2020)

Mobile Device Manager Plus MSP

entre versiones 92343 (lanzado el 16 de mayo de 2018) y 92788 (lanzado el 22 de marzo de 2020)

¿Qué tan grave es esta vulnerabilidad?

Para aprovechar esta vulnerabilidad, el usuario debe autenticarse iniciando

sesión en la consola del producto; También necesitan permisos

para agregar aplicaciones al Repositorio de aplicaciones. Estos dos requisitos previos reducen

la posibilidad de que alguien explote esta vulnerabilidad. La

caracterización CVSS de la vulnerabilidad es alta.

¿Qué pasos tomó el equipo para mitigar esta vulnerabilidad? La solución para esta vulnerabilidad se lanzó en el número de compilación 100482 para Desktop Central y Desktop Central MSP, y el número de compilación 92789 para Mobile Device Manager Plus y Mobile Device ManagerMás MSP. 

Se tomaron los siguientes pasos para mitigar esta vulnerabilidad.

  1. Todos los archivos ZIP cargados se validan y
      se eliminan todos los archivos con capacidades de recorrido de ruta.
    2.  Solo se extraen los archivos requeridos en lugar del
        archivo ZIP completo . Antes de la extracción,
      se verifican todas las extensiones de archivo y el contenido , y solo
      se extraen los archivos necesarios para la función particular .


¿Cómo puedes solucionar este problema?

Los  clientes de Desktop Central  y  Desktop Central MSP    deben

actualizar a la última versión. Siga los pasos a continuación para actualizar: 

  1. Inicie sesión en la consola del producto. En la esquina superior derecha, haga clic en el     número de compilación. 
  2. Al hacer clic en su versión de compilación actual, podrá encontrar

    la última compilación aplicable a su red. 

  1. Descargue el PPM disponible y actualice a la última versión.  


Los
  clientes de Mobile Device Manager Plus y los clientes de  Mobile Device

Manager Plus MSP  deben actualizar a

la última versión disponible en los siguientes enlaces: 

Mobile Device Manager Plus

Mobile Device Manager Plus MSP 

Como medida preventiva, también le recomendamos que cambie las

credenciales de inicio de sesión predeterminadas de su servidor . Desktop Central

los clientes pueden cambiar las credenciales de inicio de sesión predeterminadas haciendo clic en

en el perfil de usuario en la esquina superior derecha y seleccionando   Personalizar .

Luego seleccione  Cambiar contraseña  y proporcione una nueva contraseña,

mientras que los clientes de Mobile Device Manager Plus puede cambiarlo

navegando a  Admin> Personalizar> Cambiar contraseña.

Otros articulos

Servicedesk plus SAML

¿Qué es SAML? SAML es el lenguaje de marcado de aserción de seguridad  ofrece una alternativa más fácil a los métodos de inicio de sesión

What’s New in ADManager Build 7054

Mejoras Help desk audit reports: El reporte de login de los técnicos ahora muestra el nombre completo del técnico sumado al samaccountname. Correcciones Vulnerabilidad del