Zoho ManageEngine RCE sérülékenysége
Angol cím: Zoho ManageEngine RCE vulnerability
Publikálás dátuma: 2023.01.18.
Utolsó módosítás dátuma: 2024.09.16.
Leírás
A termék nem vagy nem megfelelően validálja a bemeneti adatot, ami befolyásolhatja a program adat vagy vezérlési folyamát.
Leírás forrása: CWE-20 Leírás utolsó módosítása: 2024.07.16.Elemzés leírás
Eredeti nyelven:
Multiple Zoho ManageEngine on-premise products, such as ServiceDesk Plus through 14003, allow remote code execution due to use of Apache Santuario xmlsec (aka XML Security for Java) 1.4.1, because the xmlsec XSLT features, by design in that version, make the application responsible for certain security protections, and the ManageEngine applications did not provide those protections. Exploitation is only possible if SAML SSO has ever been configured for a product (for some products, exploitation requires that SAML SSO is currently active).
Elemzés leírás forrása: CVE-2022-47966 Elemzés leírás utolsó módosítása: 2024.09.16.Hatás
CVSS3.1 Súlyosság és Metrika
Alap pontszám: 9.8 (Kritikus)
Vektor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Hatás pontszáma: 5.9
Kihasználhatóság pontszáma: 3.9
Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas
Következmények
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Hivatkozások
Sérülékeny szoftverek
A következő programok itt leírt verzióinál korábbiak: Access Manager Plus 4308, Active Directory 360 4310, ADAudit Plus 7081, ADManager Plus 7162, ADSelfService Plus 6211, Analytics Plus 5150, Application Control Plus 10.1.2220.18, Asset Explorer 6983, Browser Security Plus 11.1.2238.6, Device Control Plus 10.1.2220.18, Endpoint Central 10.1.2228.11, Endpoint Central MSP 10.1.2228.11, Endpoint DLP 10.1.2137.6, Key Manager Plus 6401, OS Deployer 1.1.2243.1, PAM 360 5713, Password Manager Pro 12124, Patch Manager Plus 10.1.2220.18, Remote Access Plus 10.1.2228.11, Remote Monitoring and Management (RMM) 10.1.41. ServiceDesk Plus 14004, ServiceDesk Plus MSP 13001, SupportCenter Plus 11026, and Vulnerability Manager Plus 10.1.2220.18.
