Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-00171

Опубликовано: 13 янв. 2023
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Критический

Описание

Уязвимость программных продуктов ManageEngine связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путем отправки специально сформированного SAML-запроса

Вендор

ZOHO Corp.

Наименование ПО

Access Manager Plus
Active Directory 360
Zoho ManageEngine ADAudit Plus
ADManager Plus
ManageEngine ADSelfService Plus
Analytics Plus
Application Control Plus
Asset Explorer
Browser Security Plus
Device Control Plus
Endpoint Central
Endpoint Central MSP
Endpoint DLP
Key Manager Plus
OS Deployer
PAM360
Password Manager Pro
Patch Manager Plus
Remote Access Plus
Remote Monitoring and Management (RMM)
ServiceDesk Plus
ServiceDesk Plus MSP
SupportCenter Plus
Vulnerability Manager Plus

Версия ПО

до 4308 (Access Manager Plus)
до 4310 (Active Directory 360)
до 7081 (Zoho ManageEngine ADAudit Plus)
до 7162 (ADManager Plus)
до 6211 (ManageEngine ADSelfService Plus)
до 5150 (Analytics Plus)
до 10.1.2220.18 (Application Control Plus)
до 6983 (Asset Explorer)
до 11.1.2238.6 (Browser Security Plus)
до 10.1.2220.18 (Device Control Plus)
до 10.1.2228.11 (Endpoint Central)
до 10.1.2228.11 (Endpoint Central MSP)
до 10.1.2137.6 (Endpoint DLP)
до 6401 (Key Manager Plus)
до 1.1.2243.1 (OS Deployer)
до 5713 (PAM360)
до 12124 (Password Manager Pro)
до 10.1.2220.18 (Patch Manager Plus)
до 10.1.2228.11 (Remote Access Plus)
до 10.1.41 (Remote Monitoring and Management (RMM))
до 14004 (ServiceDesk Plus)
до 13001 (ServiceDesk Plus MSP)
до 11026 (SupportCenter Plus)
до 10.1.2220.18 (Vulnerability Manager Plus)

Тип ПО

Сетевое средство
Прикладное ПО информационных систем
Средство защиты

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- отключение SAML;
- ограничение подключения из сетей общего пользования (Интернет);
- использование средств межсетевого экранирования для ограничения возможности удаленного доступа.
Использование рекомендаций производителя:
https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.94378
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redhat логотип

CVE-2022-47966

CVSS3: 8.1
redhat
около 3 лет назад

Multiple Zoho ManageEngine on-premise products, such as ServiceDesk Plus through 14003, allow remote code execution due to use of Apache Santuario xmlsec (aka XML Security for Java) 1.4.1, because the xmlsec XSLT features, by design in that version, make the application responsible for certain security protections, and the ManageEngine applications did not provide those protections. This affects Access Manager Plus before 4308, Active Directory 360 before 4310, ADAudit Plus before 7081, ADManager Plus before 7162, ADSelfService Plus before 6211, Analytics Plus before 5150, Application Control Plus before 10.1.2220.18, Asset Explorer before 6983, Browser Security Plus before 11.1.2238.6, Device Control Plus before 10.1.2220.18, Endpoint Central before 10.1.2228.11, Endpoint Central MSP before 10.1.2228.11, Endpoint DLP before 10.1.2137.6, Key Manager Plus before 6401, OS Deployer before 1.1.2243.1, PAM 360 before 5713, Password Manager Pro before 12124, Patch Manager Plus before 10.1...

nvd логотип

CVE-2022-47966

CVSS3: 9.8
nvd
около 3 лет назад

Multiple Zoho ManageEngine on-premise products, such as ServiceDesk Plus through 14003, allow remote code execution due to use of Apache Santuario xmlsec (aka XML Security for Java) 1.4.1, because the xmlsec XSLT features, by design in that version, make the application responsible for certain security protections, and the ManageEngine applications did not provide those protections. This affects Access Manager Plus before 4308, Active Directory 360 before 4310, ADAudit Plus before 7081, ADManager Plus before 7162, ADSelfService Plus before 6211, Analytics Plus before 5150, Application Control Plus before 10.1.2220.18, Asset Explorer before 6983, Browser Security Plus before 11.1.2238.6, Device Control Plus before 10.1.2220.18, Endpoint Central before 10.1.2228.11, Endpoint Central MSP before 10.1.2228.11, Endpoint DLP before 10.1.2137.6, Key Manager Plus before 6401, OS Deployer before 1.1.2243.1, PAM 360 before 5713, Password Manager Pro before 12124, Patch Manager Plus before 10.1.22

github логотип

GHSA-mqq7-v29v-25f6

CVSS3: 9.8
github
около 3 лет назад

Multiple Zoho ManageEngine on-premise products, such as ServiceDesk Plus through 14003, allow remote code execution due to use of Apache xmlsec (aka XML Security for Java) 1.4.1, because the xmlsec XSLT features, by design in that version, make the application responsible for certain security protections, and the ManageEngine applications did not provide those protections.

EPSS

Процентиль: 100%
0.94378
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2