CRITICAL✓ PATCH🇬🇧 English

CVE-2023-48793

SQL Injection w Zoho ManageEngine ADAudit Plus — funkcja raportów agregowanych

CVSS 9.8v3.1pub. 2024-02-02upd. 2025-06-11

Zoho ManageEngine ADAudit Plus w wersjach do 7250 zawiera podatność SQL Injection w funkcji raportów agregowanych (aggregate report). Luka umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie złośliwych zapytań SQL na bazie danych aplikacji.

Pokaż oryginał (EN)

Zoho ManageEngine ADAudit Plus through 7250 allows SQL Injection in the aggregate report feature.

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiedniej walidacji i sanityzacji danych wejściowych przekazywanych do zapytań SQL w module raportów agregowanych. Atakujący może wstrzyknąć własny kod SQL poprzez sieć, bez konieczności posiadania jakichkolwiek poświadczeń (PR:N, UI:N). Wektor ataku jest sieciowy, a złożoność ataku niska, co czyni exploitację stosunkowo łatwą do przeprowadzenia.

Skutki

Udana exploitacja może pozwolić atakującemu na nieuprawniony odczyt, modyfikację lub usunięcie danych zgromadzonych w bazie danych aplikacji, w tym potencjalnie wrażliwych danych audytowych Active Directory. W zależności od konfiguracji serwera bazodanowego możliwe jest również przejęcie pełnej kontroli nad systemem.

Mitygacja

Należy zaktualizować Zoho ManageEngine ADAudit Plus do wersji 7271 lub nowszej, w której producent wprowadził poprawkę dla opisanej podatności SQL Injection. Szczegóły dostępne pod adresem: https://www.manageengine.com/products/active-directory-audit/sqlfix-7271.html

Kogo dotyczy

Zoho ManageEngine ADAudit Plus w wersjach do 7250 włącznie.

Uwagi

Producent opublikował dedykowaną stronę z informacją o poprawce SQL (sqlfix-7271), co potwierdza, że wersja 7271 zawiera łatkę dla tej podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Zohocorp Manageengine Adaudit Plus

    APP
    Zohocorp
    7.2< 7.2
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2022-47966CRITICAL9.8⚠ KEVten sam produkt

Multiple Zoho ManageEngine on-premise products, such as ServiceDesk Plus through 14003, allow remote code exec...

CVE-2023-48792CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Zoho ManageEngine ADAudit Plus — eksport raportów

CVE-2022-28219CRITICAL9.8ten sam produkt

Cewolf in Zoho ManageEngine ADAudit Plus before 7060 is vulnerable to an unauthenticated XXE attack that leads...

CVE-2021-42847CRITICAL9.8ten sam produkt

Zoho ManageEngine ADAudit Plus before 7006 allows attackers to write to, and execute, arbitrary files.

CVE-2020-24786CRITICAL9.8ten sam produkt

An issue was discovered in Zoho ManageEngine Exchange Reporter Plus before build number 5510, AD360 before bui...

CVE-2023-48793 — SQL Injection w Zoho ManageEngine ADAudit Plus — funkcja raportów agregowanych — CRITICAL 9.8 | CVEbaza.pl