Описание
Уязвимость программного обеспечения для сброса паролей ManageEngine ADSelfService Plus связана с отсутствием процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти процедуру аутентификации
Вендор
ZOHO Corp.
Наименование ПО
ManageEngine ADSelfService Plus
Версия ПО
до 6114 (ManageEngine ADSelfService Plus)
Тип ПО
Сетевое средство
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://www.manageengine.com/products/self-service-password/kb/how-to-fix-authentication-bypass-vulnerability-in-REST-API.html
https://www.manageengine.com
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 100%
0.94424
Критический
9.8 Critical
CVSS3
7.5 High
CVSS2
Связанные уязвимости
CVSS3: 9.8
nvd
больше 4 лет назад
Zoho ManageEngine ADSelfService Plus version 6113 and prior is vulnerable to REST API authentication bypass with resultant remote code execution.
CVSS3: 9.8
github
больше 3 лет назад
Zoho ManageEngine ADSelfService Plus version 6113 and prior is vulnerable to REST API authentication bypass with resultant remote code execution.
EPSS
Процентиль: 100%
0.94424
Критический
9.8 Critical
CVSS3
7.5 High
CVSS2