Podatność w ManageEngine ADSelfService Plus umożliwia ominięcie mechanizmów uwierzytelnienia bez posiadania jakichkolwiek poświadczeń. Ze względu na krytyczny poziom CVSS 9.1 oraz brak wymogu interakcji użytkownika, stanowi poważne zagrożenie dla środowisk korporacyjnych.
▸ Pokaż oryginał (EN)
Zohocorp ManageEngine ADSelfService Plus versions before 6519 are vulnerable to Authentication Bypass due to improper filter configurations.
Podatność wynika z nieprawidłowej konfiguracji filtrów uwierzytelniania (CWE-290 — Authentication Bypass by Spoofing). Błędnie skonfigurowane filtry pozwalają atakującemu na ominięcie kontroli dostępu i podszycie się pod uwierzytelnionego użytkownika lub administratora. Atak może zostać przeprowadzony zdalnie, przez sieć, bez konieczności posiadania konta ani interakcji ze strony ofiary.
Atakujący może uzyskać nieautoryzowany dostęp do systemu z wysokim poziomem uprawnień, co skutkuje naruszeniem poufności oraz integralności danych zarządzanych przez aplikację, w tym potencjalnie danych uwierzytelniających użytkowników Active Directory.
Należy niezwłocznie zaktualizować ManageEngine ADSelfService Plus do wersji 6519 lub nowszej. Szczegóły dostępne w oficjalnym biuletynie producenta: https://www.manageengine.com/products/self-service-password/advisory/CVE-2025-11250.html
Zohocorp ManageEngine ADSelfService Plus w wersjach wcześniejszych niż 6519
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NZohocorp Manageengine Adselfservice Plus
APPZohocorp6.5< 6.5
Powiązane podatności
Multiple Zoho ManageEngine on-premise products, such as ServiceDesk Plus through 14003, allow remote code exec...
Zoho ManageEngine ADSelfService Plus version 6113 and prior is vulnerable to REST API authentication bypass wi...
Zoho ManageEngine ADSelfService Plus through 6113 has an authentication bypass that can be exploited to steal ...
Zoho ManageEngine ADSelfService Plus through 6203 is vulnerable to a brute-force attack that leads to a passwo...
Zoho ManageEngine ADSelfService Plus 6111 and prior is vulnerable to linked applications takeover.