PT-2024-1577 · Zoho · Zoho Manageengine Adselfservice Plus
Joe Zhoy
·
Publicado
2024-01-11
·
Atualizado
2024-06-07
·
CVE-2024-0252
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
ManageEngine ADSelfService Plus versões 6401 e anteriores
Descrição
O problema está relacionado ao tratamento inadequado no componente balanceador de carga do ManageEngine ADSelfService Plus, o que pode levar à execução remota de código. É necessária autenticação para explorar essa vulnerabilidade. Estima-se que cerca de 1.969 dispositivos estejam potencialmente afetados, distribuídos principalmente nos Estados Unidos, na Índia e em outros países.
Recomendações
Para as versões 6401 e anteriores do ManageEngine ADSelfService Plus, atualize para uma versão superior à 6401 para resolver o problema.
Como solução temporária, considere restringir o acesso ao componente balanceador de carga até que um patch esteja disponível.
Evite usar o componente balanceador de carga vulnerável nos pontos de extremidade da API afetados até que o problema seja resolvido.
Correção
RCE
Missing Authentication
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Zoho Manageengine Adselfservice Plus