CVE-2022-28810

Versões do Zoho ManageEngine ADSelfService Plus anteriores à 6122

A vulnerabilidade permite que um administrador remoto autenticado execute comandos arbitrários do sistema operacional como SYSTEM por meio do recurso de script personalizado de políticas. Isso pode ser explorado devido ao uso de uma senha de administrador padrão, facilitando que invasores abusem dessa funcionalidade. Além disso, um invasor remoto e parcialmente autenticado pode ser capaz de injetar comandos arbitrários no script personalizado devido a um campo de senha não sanitizado, especificamente o campo password. Essa vulnerabilidade pode ser explorada quando um determinado recurso de sincronização de senhas está habilitado, o qual usa senhas como argumentos de script, permitindo a execução remota de código por meio da entrada do executável CMD.EXE.

Para versões anteriores à 6122, atualize para uma versão que inclua a correção para este problema, especificamente a compilação 6122 ou posterior, para impedir a execução remota de código. Como solução alternativa temporária, considere desativar o recurso de script personalizado de política até que um patch esteja disponível. Restrinja o acesso ao recurso de sincronização de senhas que usa senhas como argumentos de script para minimizar o risco de exploração. Evite usar o campo password no script personalizado até que o problema seja resolvido.