CVE-2022-47523

Опубликовано: 05 янв. 2023

Источник: nvd

CVSS3: 9.8

EPSS Средний

Уязвимость SQL-внедрения в Zoho ManageEngine Access Manager Plus, Password Manager Pro и PAM360

Описание

Уязвимость связана с возможностью внедрения SQL-команд.

Затронутые версии ПО

Zoho ManageEngine Access Manager Plus до версии 4309
Password Manager Pro до версии 12210
PAM360 до версии 5801

Тип уязвимости

SQL-внедрение (SQL Injection)

Ссылки

https://www.manageengine.com/privileged-session-management/advisory/cve-2022-47523.html
Patch
Vendor Advisory
https://www.manageengine.com/privileged-session-management/advisory/cve-2022-47523.html
Patch
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:zohocorp:manageengine_password_manager_pro:*:*:*:*:*:*:*:*

Версия до 12.2 (исключая)

cpe:2.3:a:zohocorp:manageengine_password_manager_pro:12.2:build12200:*:*:*:*:*:*

Конфигурация 2

Одно из

cpe:2.3:a:zohocorp:manageengine_pam360:*:*:*:*:*:*:*:*

Версия до 5.8 (исключая)

cpe:2.3:a:zohocorp:manageengine_pam360:5.8:build5800:*:*:*:*:*:*

Конфигурация 3

Одно из

cpe:2.3:a:zohocorp:manageengine_access_manager_plus:*:*:*:*:*:*:*:*

Версия до 4.3 (исключая)

cpe:2.3:a:zohocorp:manageengine_access_manager_plus:4.3:build4300:*:*:*:*:*:*

cpe:2.3:a:zohocorp:manageengine_access_manager_plus:4.3:build4301:*:*:*:*:*:*

cpe:2.3:a:zohocorp:manageengine_access_manager_plus:4.3:build4302:*:*:*:*:*:*

cpe:2.3:a:zohocorp:manageengine_access_manager_plus:4.3:build4303:*:*:*:*:*:*

cpe:2.3:a:zohocorp:manageengine_access_manager_plus:4.3:build4304:*:*:*:*:*:*

cpe:2.3:a:zohocorp:manageengine_access_manager_plus:4.3:build4305:*:*:*:*:*:*

cpe:2.3:a:zohocorp:manageengine_access_manager_plus:4.3:build4306:*:*:*:*:*:*

cpe:2.3:a:zohocorp:manageengine_access_manager_plus:4.3:build4307:*:*:*:*:*:*

cpe:2.3:a:zohocorp:manageengine_access_manager_plus:4.3:build4308:*:*:*:*:*:*

EPSS

Процентиль: 98%

0.45551

Средний

9.8 Critical

CVSS3

Дефекты

CWE-89

CWE-79

Связанные уязвимости

GHSA-jw4x-gv7r-c358

CVSS3: 9.8

github

около 3 лет назад

Zoho ManageEngine Access Manager Plus before 4309, Password Manager Pro before 12210, and PAM360 before 5801 are vulnerable to SQL Injection.

BDU:2023-03420

CVSS3: 9.8

fstec

около 3 лет назад

Уязвимость программного решения для контроля, управления и аудита Zoho ManageEngine Password Manager Pro и программное решение для управления привилегированными сеансами Zoho ManageEngine Access Manager Plus, позволяющая нарушителю выполнить произвольные запросы или получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 98%

0.45551

Средний

9.8 Critical

CVSS3

Дефекты

CWE-89

CWE-79