BDU:2023-03420

Опубликовано: 28 дек. 2022

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Средний

Описание

Уязвимость программного решения для контроля, управления и аудита Zoho ManageEngine Password Manager Pro и программное решение для управления привилегированными сеансами Zoho ManageEngine Access Manager Plus связана с недостаточной защитой структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные пользовательские запросы или получить несанкционированный доступ к защищаемой информации

Вендор

ZOHO Corp.

Наименование ПО

PAM360

Access Manager Plus

Password Manager Pro

Версия ПО

до 5800 включительно (PAM360)

до 4308 включительно (Access Manager Plus)

до 12200 включительно (Password Manager Pro)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://www.manageengine.com/privileged-session-management/advisory/cve-2022-47523.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-47523
CVE

EPSS

Процентиль: 98%

0.45551

Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2022-47523

CVSS3: 9.8

nvd

около 3 лет назад

Zoho ManageEngine Access Manager Plus before 4309, Password Manager Pro before 12210, and PAM360 before 5801 are vulnerable to SQL Injection.

GHSA-jw4x-gv7r-c358

CVSS3: 9.8

github

около 3 лет назад

Zoho ManageEngine Access Manager Plus before 4309, Password Manager Pro before 12210, and PAM360 before 5801 are vulnerable to SQL Injection.

EPSS

Процентиль: 98%

0.45551

Средний

9.8 Critical

CVSS3

10 Critical

CVSS2