Cet avis de sécurité corrige une vulnérabilité d'exécution de code à distance (RCE) non authentifiée affectant ServiceDesk Plus jusqu'à la version 11305.
Cette vulnérabilité a été corrigée le 16 septembre 2021 dans les versions 11306 et supérieures, et un avis a également été publié.
Veuillez noter que nous constatons des exploitations de cette vulnérabilité, et nous conseillons vivement à tous les clients utilisant ServiceDesk Plus (toutes les éditions) avec les versions 11305 et inférieures de mettre à jour vers la dernière version immédiatement.
Cette vulnérabilité n'affecte pas les versions Cloud de ServiceDesk Plus.
Gravité : Critique
Impact :
Cette vulnérabilité peut permettre à un tiers d'exécuter du code arbitraire et de mener toute attaque ultérieure.
Qu'est-ce qui a conduit à cette vulnérabilité ?
Une mauvaise configuration de sécurité dans ServiceDesk Plus a conduit à cette vulnérabilité.
Qui est concerné ?
Cette vulnérabilité affecte les clients de ServiceDesk Plus (on-premises) de toutes les éditions utilisant les versions 11305 et inférieures.
Comment l'avons-nous corrigée ?
La vulnérabilité a été corrigée en paramétrant correctement la configuration de sécurité et en supprimant l'URL inutilisée dans les versions 11306 et supérieures.
Comment savoir si vous êtes concerné
Cliquez sur le lien Aide dans le coin supérieur droit du client Web de ServiceDesk Plus, et sélectionnez À propos dans la liste déroulante pour voir votre version actuelle. Si votre version actuelle (toutes éditions confondues) est 11305 et inférieure, votre installation est vulnérable.
Veuillez suivre cet article du forum pour toute nouvelle mise à jour concernant cette vulnérabilité.
Ce que les clients doivent faire
Les clients qui répondent aux critères ci-dessus peuvent mettre à niveau vers la dernière version (12001) en utilisant la séquence de migration appropriée.
Veuillez lire attentivement les instructions de mise à niveau avant de commencer la mise à niveau.
Remarque importante : Comme toujours, faites une copie de l'ensemble du dossier d'installation de ServiceDesk Plus avant d'appliquer la mise à niveau, et conservez la copie dans un endroit séparé. Si quelque chose ne va pas pendant la mise à niveau, vous aurez cette copie comme sauvegarde, qui gardera tous vos paramètres intacts. Si vous utilisez un serveur MS SQL comme base de données, sauvegardez la base de données de ServiceDesk Plus avant la mise à niveau. Une fois la mise à niveau terminée avec succès, n'oubliez pas de supprimer la sauvegarde.
Nous vous présentons nos plus sincères excuses pour tout inconvénient que cela a pu causer.