CRITICAL✓ PATCH🇬🇧 English

CVE-2023-48792

SQL Injection w Zoho ManageEngine ADAudit Plus — eksport raportów

CVSS 9.8v3.1pub. 2024-02-02upd. 2025-06-11

Zoho ManageEngine ADAudit Plus w wersjach do 7250 włącznie zawiera podatność SQL Injection w funkcji eksportu raportów. Podatność posiada ocenę CVSS 9.8 (CRITICAL) i może zostać wykorzystana zdalnie bez uwierzytelnienia.

Pokaż oryginał (EN)

Zoho ManageEngine ADAudit Plus through 7250 is vulnerable to SQL Injection in the report export option.

🤖 Analiza AI
Jak działa

Atakujący może wstrzyknąć złośliwy kod SQL poprzez parametry związane z funkcją eksportu raportów w aplikacji. Ze względu na brak walidacji i odpowiedniej parametryzacji zapytań, wprowadzone dane trafiają bezpośrednio do silnika bazy danych. Wektor ataku jest sieciowy, nie wymaga żadnych uprawnień ani interakcji ze strony użytkownika, co czyni podatność szczególnie niebezpieczną.

Skutki

Skuteczne wykorzystanie podatności może pozwolić atakującemu na nieautoryzowany odczyt, modyfikację lub usunięcie danych z bazy danych aplikacji, a w zależności od konfiguracji środowiska również na wykonanie poleceń na poziomie serwera bazy danych.

Mitygacja

Należy zaktualizować Zoho ManageEngine ADAudit Plus do wersji 7271 lub nowszej, w której producent wprowadził poprawki opisane pod adresem: https://www.manageengine.com/products/active-directory-audit/sqlfix-7271.html

Kogo dotyczy

Zoho ManageEngine ADAudit Plus w wersjach do 7250 włącznie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Zohocorp Manageengine Adaudit Plus

    APP
    Zohocorp
    7.2< 7.2
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2022-47966CRITICAL9.8⚠ KEVten sam produkt

Multiple Zoho ManageEngine on-premise products, such as ServiceDesk Plus through 14003, allow remote code exec...

CVE-2023-48793CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Zoho ManageEngine ADAudit Plus — funkcja raportów agregowanych

CVE-2022-28219CRITICAL9.8ten sam produkt

Cewolf in Zoho ManageEngine ADAudit Plus before 7060 is vulnerable to an unauthenticated XXE attack that leads...

CVE-2021-42847CRITICAL9.8ten sam produkt

Zoho ManageEngine ADAudit Plus before 7006 allows attackers to write to, and execute, arbitrary files.

CVE-2020-24786CRITICAL9.8ten sam produkt

An issue was discovered in Zoho ManageEngine Exchange Reporter Plus before build number 5510, AD360 before bui...