CVE-2020-27166：未授权访问证书文件（CA）

本文档将向您解释漏洞（CVE-2020-27166），该漏洞允许未授权用户访问 Desktop Central 中的 CA 证书文件。该漏洞由 Simon.

报告。

问题是什么？注意

：该漏洞仅在被管理设备首先被攻陷的情况下适用。

如果攻击者获得了由 Desktop Central 管理的被攻陷设备的访问权限，则可以访问服务器中的 CA 证书文件。利用此漏洞，攻击者可以将代理通信重新路由到他们自己的恶意 Desktop Central 服务器。

该漏洞的影响是什么？

问题是什么？代理将在不验证服务器身份的情况下与服务器建立通信，可能导致远程代码执行。

：仅当攻击者获得网络级权限以伪造 DNS（即攻击者与网络处于同一网络环境中）时，Man-in-the-Middle 攻击才可被利用。

我该如何修复？ 100647此漏洞已被识别并修复于

。要应用此修复，请遵循以下步骤：
1. 登录您的 Desktop Central 控制台，点击右上角的当前版本号。

2. 您将能找到适用于您的最新版本。下载 PPM 并进行更新。 如有任何疑问，欢迎联系我们的支持团队，邮箱地址为

endpointcentral-support@manageengine.com关键词