Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-03687

Опубликовано: 20 июн. 2023
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость программного обеспечения для сброса паролей ManageEngine ADSelfService Plus связана с отсутствием аутентификации для критичной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить привилегии

Вендор

ZOHO Corp.

Наименование ПО

ManageEngine ADSelfService Plus

Версия ПО

до 6113 (ManageEngine ADSelfService Plus)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/970198175/Simply-use
https://www.manageengine.com

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 85%
0.0268
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-35854

CVSS3: 9.8
nvd
больше 2 лет назад

Zoho ManageEngine ADSelfService Plus through 6113 has an authentication bypass that can be exploited to steal the domain controller session token for identity spoofing, thereby achieving the privileges of the domain controller administrator. NOTE: the vendor's perspective is that they have "found no evidence or detail of a security vulnerability."

github логотип

GHSA-vwhx-3qh6-75xf

CVSS3: 9.8
github
больше 2 лет назад

Zoho ManageEngine ADSelfService Plus through 6113 has an authentication bypass that can be exploited to steal the domain controller session token for identity spoofing, thereby achieving the privileges of the domain controller administrator.

EPSS

Процентиль: 85%
0.0268
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2