PT-2022-19401 · Zoho · Zoho Manageengine Access Manager Plus+2
Evan Grant
·
Publicado
2022-04-13
·
Atualizado
2025-12-05
·
CVE-2022-29081
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Zoho ManageEngine Access Manager Plus anteriores à 4302
Versões do Zoho ManageEngine Password Manager Pro anteriores à 12007
Versões do ManageEngine Privileged Access Manager 360 (PAM360) anteriores à 5401
Descrição
As soluções de software Zoho ManageEngine Access Manager Plus, Zoho ManageEngine Password Manager Pro e ManageEngine Privileged Access Manager 360 (PAM360) são afetadas por um problema de restrição de caminho inadequada. Isso pode permitir que um invasor remoto contorne as restrições de segurança e obtenha acesso não autorizado a informações protegidas. O problema está relacionado à contornagem do controle de acesso em várias URLs da API Rest, incluindo aquelas para
SSOutAction, SSLAction, LicenseMgr, GetProductDetails, GetDashboard, FetchEvents e Synchronize, por meio do uso da subcadeia ‘../RestAPI’.Recomendações
As versões do Zoho ManageEngine Access Manager Plus anteriores à 4302 devem ser atualizadas.
As versões do Zoho ManageEngine Password Manager Pro anteriores à 12007 devem ser atualizadas.
As versões do ManageEngine Privileged Access Manager 360 (PAM360) anteriores à 5401 devem ser atualizadas.
Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pam 360
Password Manager Pro
Zoho Manageengine Access Manager Plus