Marcin Ogorzelski

**Nome do software vulnerável e versões afetadas** Versões do Zoho ManageEngine ADSelfService Plus anteriores à 6112 **Descrição** O problema está relacionado a uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF). O SSRF é um tipo de ataque em que um invasor pode induzir um servidor a enviar solicitações a recursos internos ou externos, o que pode levar a acesso não autorizado ou exposição de dados. **Recomendações** Para versões anteriores à 6112, atualize para a versão 6112 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a recursos confidenciais e serviços internos para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do ManageEngine ADSelfService Plus anteriores à 6112 **Descrição** A vulnerabilidade permite a falsificação de e-mails. **Recomendações** Para versões anteriores à 6112, atualize para a versão 6112 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Zoho ManageEngine ADSelfService Plus versões 6103 e anteriores **Descrição** A vulnerabilidade permite contornar as restrições de acesso ao portal de administração. **Recomendações** Para as versões 6103 e anteriores, atualize para uma versão posterior à 6103 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Zoho ManageEngine ADSelfService Plus até a 6102 **Descrição** A vulnerabilidade permite a execução remota de código sem autenticação nas edições em idiomas diferentes do inglês. **Recomendações** Para as versões até a 6102, atualize para uma versão que contenha uma correção para esta vulnerabilidade, a fim de impedir a execução remota de código sem autenticação.

**Nome do software vulnerável e versões afetadas** Zoho ManageEngine ADSelfService Plus versões 6103 e anteriores **Descrição** O problema está relacionado a um ataque XSS refletido na página loadframe. **Recomendações** Para as versões 6103 e anteriores do Zoho ManageEngine ADSelfService Plus, atualize para uma versão posterior à 6103 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Zoho ManageEngine ADSelfService Plus anteriores à 6103 **Descrição** O problema está relacionado à contornamento do CAPTCHA devido a uma validação inadequada de parâmetros. **Recomendações** Para versões anteriores à 6103, atualize para uma versão posterior à 6103 para resolver o problema.

**Nome do software vulnerável e versões afetadas: Versões do Zoho ManageEngine ADSelfService Plus anteriores à 6104 Descrição: A vulnerabilidade permite que invasores obtenham informações confidenciais sobre o aplicativo de banco de dados de sincronização de senhas em situações raras. Recomendações: Para versões anteriores à 6104, atualize para a versão 6104 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas: Adaptadores do IBM Security Identity Manager, versões 6.0 a 7.0 Descrição: O problema é causado por uma verificação de limites inadequada, levando a um estouro de buffer baseado em heap. Um invasor remoto autenticado poderia explorar essa vulnerabilidade para causar a falha do servidor. Recomendações: Para as versões 6.0 a 7.0, atualize para uma versão que inclua a correção para o problema de estouro de buffer baseado em heap.

**Nome do software vulnerável e versões afetadas: Adaptadores do IBM Security Identity Manager, versões 6.0 a 7.0 Descrição: O problema é causado por uma verificação de limites inadequada, levando a um estouro de buffer baseado na pilha. Um invasor remoto autenticado poderia explorar isso para causar a falha do servidor. Recomendações: Para as versões 6.0 e 7.0, atualize para uma versão que inclua a correção para o problema de verificação de limites inadequada, a fim de evitar o estouro de buffer baseado na pilha. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Adaptadores do IBM Security Identity Manager, versões 6.0 a 7.0 Descrição: A vulnerabilidade permite que um invasor remoto autenticado realize uma injeção LDAP por meio de uma solicitação especialmente criada, o que pode levar à apropriação de contas. Recomendações: Para as versões 6.0 a 7.0, considere restringir o acesso à funcionalidade LDAP até que uma correção esteja disponível. Como solução alternativa temporária, evite usar solicitações especialmente criadas nos pontos de extremidade da API afetados até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas: Zoho ManageEngine ADSelfService Plus, versões até a 6101 Descrição: A vulnerabilidade permite a execução remota de código sem autenticação durante a alteração da senha. Recomendações: Para as versões até a 6101, atualize para uma versão que contenha uma correção para esta vulnerabilidade, a fim de impedir a execução remota de código sem autenticação.