PT-2022-6692 · Zoho · Zoho Manageengine Access Manager Plus+2
Publicado
2022-12-28
·
Atualizado
2023-01-11
·
CVE-2022-47523
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Zoho ManageEngine Access Manager Plus anteriores à 4309
Versões do Zoho ManageEngine Password Manager Pro anteriores à 12210
Versões do Zoho ManageEngine PAM360 anteriores à 5801
Descrição
O problema está relacionado à proteção insuficiente da estrutura de consultas SQL, permitindo que um invasor remoto execute consultas de usuário arbitrárias ou obtenha acesso não autorizado a informações protegidas. A exploração bem-sucedida fornece a invasores autenticados acesso ao banco de dados do lado do servidor, permitindo que eles executem consultas personalizadas para acessar registros de tabelas do banco de dados.
Recomendações
Para versões do Zoho ManageEngine Access Manager Plus anteriores à 4309, atualize para a versão 4309 ou posterior.
Para versões do Zoho ManageEngine Password Manager Pro anteriores à 12210, atualize para a versão 12210 ou posterior.
Para versões do Zoho ManageEngine PAM360 anteriores à 5801, atualize para a versão 5801 ou posterior.
Como precaução, crie backups de suas instalações antes de atualizar para evitar perda de dados.
Correção
XSS
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Zoho Manageengine Access Manager Plus
Zoho Manageengine Pam360
Manageengine Password Manager Pro