CVE-2025-1723

Nome do Software Vulnerável e Versões Afetadas Zohocorp ManageEngine ADSelfService Plus versões 6510 e inferiores

Descrição A questão está relacionada ao manejo inadequado de sessão, o que pode levar à tomada de controle de conta. Apenas titulares de contas válidas no ambiente têm o potencial de explorar esta falha. A vulnerabilidade permite que invasores contornem as salvaguardas de autenticação e interceptem dados sensíveis de cadastro de usuários quando a MFA está desativada. Isso cria um risco significativo, potencialmente permitindo que agentes maliciosos se passem por usuários legítimos e assumam o controle de contas. O número estimado de dispositivos potencialmente afetados em todo o mundo não é mencionado explicitamente, mas mais de 13.100 serviços foram identificados como vulneráveis.

Recomendações Para as versões 6510 e inferiores, atualize para a build corrigida 6511 para proteger dados sensíveis. Como precaução, exija a MFA para todas as contas administrativas e de usuário. Considere desativar temporariamente o recurso de gerenciamento de sessão vulnerável até que uma correção esteja disponível. Restrinja o acesso aos dados sensíveis de cadastro de usuários para minimizar o risco de exploração. Evite utilizar o software ADSelfService Plus afetado até que a questão seja resolvida.