|
Описание уязвимости |
Уязвимость программных продуктов ManageEngine связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путем отправки специально сформированного SAML-запроса |
|
Вендор
|
ZOHO Corp. |
|
Наименование ПО
|
Access Manager Plus, Active Directory 360, Zoho ManageEngine ADAudit Plus, ADManager Plus, ManageEngine ADSelfService Plus, Analytics Plus, Application Control Plus, Asset Explorer, Browser Security Plus, Device Control Plus, Endpoint Central, Endpoint Central MSP, Endpoint DLP, Key Manager Plus, OS Deployer, PAM360, Password Manager Pro, Patch Manager Plus, Remote Access Plus, Remote Monitoring and Management (RMM), ServiceDesk Plus, ServiceDesk Plus MSP, SupportCenter Plus, Vulnerability Manager Plus |
|
Версия ПО
|
- до 4308 (Access Manager Plus)
- до 4310 (Active Directory 360)
- до 7081 (Zoho ManageEngine ADAudit Plus)
- до 7162 (ADManager Plus)
- до 6211 (ManageEngine ADSelfService Plus)
- до 5150 (Analytics Plus)
- до 10.1.2220.18 (Application Control Plus)
- до 6983 (Asset Explorer)
- до 11.1.2238.6 (Browser Security Plus)
- до 10.1.2220.18 (Device Control Plus)
- до 10.1.2228.11 (Endpoint Central)
- до 10.1.2228.11 (Endpoint Central MSP)
- до 10.1.2137.6 (Endpoint DLP)
- до 6401 (Key Manager Plus)
- до 1.1.2243.1 (OS Deployer)
- до 5713 (PAM360)
- до 12124 (Password Manager Pro)
- до 10.1.2220.18 (Patch Manager Plus)
- до 10.1.2228.11 (Remote Access Plus)
- до 10.1.41 (Remote Monitoring and Management (RMM))
- до 14004 (ServiceDesk Plus)
- до 13001 (ServiceDesk Plus MSP)
- до 11026 (SupportCenter Plus)
- до 10.1.2220.18 (Vulnerability Manager Plus)
|
|
Тип ПО
|
Сетевое средство, Сетевое программное средство, Прикладное ПО информационных систем, Средство защиты, Программное средство защиты |
|
Операционные системы и аппаратные платформы
|
Данные уточняются
|
|
Тип ошибки |
Недостаточная проверка вводимых данных |
|
Идентификатор типа ошибки
|
|
|
Класс уязвимости
|
Уязвимость кода |
|
Дата выявления |
13.01.2023 |
|
Базовый вектор уязвимости
|
|
|
Уровень опасности уязвимости
|
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8) |
|
Возможные меры по устранению уязвимости |
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- отключение SAML;
- ограничение подключения из сетей общего пользования (Интернет);
- использование средств межсетевого экранирования для ограничения возможности удаленного доступа.
Использование рекомендаций производителя:
https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html |
|
Статус уязвимости
|
Подтверждена производителем |
|
Наличие эксплойта |
Существует в открытом доступе |
|
Способ эксплуатации |
- Манипулирование ресурсами
|
|
Способ устранения |
Обновление программного обеспечения |
|
Информация об устранении |
Уязвимость устранена |
|
Ссылки на источники |
|
|
Идентификаторы других систем описаний уязвимостей
|
|
|
Прочая информация |
Данные уточняются |
