PT-2024-13724 · Zoho · Zoho Manageengine Adaudit Plus
Minhgalaxy
·
Publicado
2024-05-20
·
Atualizado
2025-05-09
·
CVE-2023-49331
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Zoho ManageEngine ADAudit Plus anteriores à 7271
Descrição
A vulnerabilidade permite a injeção de SQL na opção de pesquisa dos relatórios agregados. Isso poderia ser potencialmente explorado para extrair ou modificar dados confidenciais.
Recomendações
Para as versões do Zoho ManageEngine ADAudit Plus anteriores à 7271, atualize para a versão 7271 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à opção de pesquisa de relatórios agregados até que um patch seja aplicado. Evite usar dados inseridos pelo usuário na opção de pesquisa para minimizar o risco de exploração.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zoho Manageengine Adaudit Plus