CVE-2022-35405

Опубликовано: 19 июл. 2022

Источник: nvd

CVSS3: 9.8

EPSS Критический

Уязвимость выполнения кода без аутентификации в Zoho ManageEngine Password Manager Pro и PAM360

Описание

В Zoho ManageEngine Password Manager Pro и PAM360 обнаружена уязвимость, позволяющая злоумышленнику выполнять произвольный код удалённо без прохождения аутентификации. Уязвимость также затрагивает ManageEngine Access Manager Plus, однако в этом случае требуется аутентификация злоумышленника.

Затронутые версии ПО

Zoho ManageEngine Password Manager Pro до версии 12101
PAM360 до версии 5510
ManageEngine Access Manager Plus до версии 4303 (с аутентификацией)

Тип уязвимости

Удалённое выполнение кода

Ссылки

http://packetstormsecurity.com/files/167918/Zoho-Password-Manager-Pro-XML-RPC-Java-Deserialization.html
Exploit
Third Party Advisory
VDB Entry
https://www.manageengine.com/products/passwordmanagerpro/advisory/cve-2022-35405.html
Patch
Vendor Advisory
http://packetstormsecurity.com/files/167918/Zoho-Password-Manager-Pro-XML-RPC-Java-Deserialization.html
Exploit
Third Party Advisory
VDB Entry
https://www.manageengine.com/products/passwordmanagerpro/advisory/cve-2022-35405.html
Patch
Vendor Advisory
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2022-35405
US Government Resource

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:zohocorp:manageengine_access_manager_plus:*:*:*:*:*:*:*:*

Версия до 4.3 (исключая)

cpe:2.3:a:zohocorp:manageengine_access_manager_plus:4.3:build4300:*:*:*:*:*:*

cpe:2.3:a:zohocorp:manageengine_access_manager_plus:4.3:build4301:*:*:*:*:*:*

cpe:2.3:a:zohocorp:manageengine_access_manager_plus:4.3:build4302:*:*:*:*:*:*

cpe:2.3:a:zohocorp:manageengine_pam360:*:*:*:*:*:*:*:*

Версия до 5.5 (исключая)

cpe:2.3:a:zohocorp:manageengine_pam360:5.5:build5500:*:*:*:*:*:*

cpe:2.3:a:zohocorp:manageengine_password_manager_pro:*:*:*:*:*:*:*:*

Версия до 12.1 (исключая)

cpe:2.3:a:zohocorp:manageengine_password_manager_pro:12.1:build12100:*:*:*:*:*:*

EPSS

Процентиль: 100%

0.94314

Критический

9.8 Critical

CVSS3

Дефекты

CWE-502

Связанные уязвимости

GHSA-j9c5-6p9g-hwf3

CVSS3: 9.8

github

больше 3 лет назад

Zoho ManageEngine Password Manager Pro before 12101 and PAM360 before 5510 are vulnerable to unauthenticated remote code execution. (This also affects ManageEngine Access Manager Plus before 4303 with authentication.)

BDU:2022-05983

CVSS3: 9.8

fstec

больше 3 лет назад

Уязвимость компонента xmlrpc программного решения для контроля, управления и аудита Zoho ManageEngine Password Manager Pro и программное решение для управления привилегированными сеансами Zoho ManageEngine Access Manager Plus, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 100%

0.94314

Критический

9.8 Critical

CVSS3

Дефекты

CWE-502