Podatność w produktach ManageEngine ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus oraz ADAudit Plus umożliwia nieuwierzytelnionemu atakującemu przewidzenie tokenów SSO (Single Sign-On) używanych do uwierzytelniania sesji. Skutkiem jest możliwość przejęcia konta dowolnego użytkownika bez znajomości jego hasła.
▸ Pokaż oryginał (EN)
In ManageEngine ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus, and ADAudit Plus, the SSO tickets generated to authenticate that session could be predicted by an unauthenticated user, leading to account takeover.
Mechanizm generowania biletów (tickets) SSO stosowany przez wymienione produkty ManageEngine zawiera podatność polegającą na niewystarczającej losowości lub przewidywalnym algorytmie tworzenia wartości tokena (CWE-330, CWE-340). Nieuprawniony użytkownik, bez konieczności posiadania jakichkolwiek danych uwierzytelniających, jest w stanie odgadnąć lub obliczyć wartość ważnego biletu SSO wygenerowanego dla innej sesji. Posługując się tak uzyskanym tokenem, atakujący może ominąć mechanizmy uwierzytelniania (CWE-287) i uzyskać dostęp do konta ofiary.
Atakujący może w pełni przejąć konto dowolnego użytkownika zaatakowanego systemu, uzyskując dostęp do jego uprawnień, danych oraz możliwości zarządzania tożsamością i zasobami katalogowymi. Ze względu na zakres produktów (zarządzanie hasłami, audyt AD, zarządzanie M365), skutki mogą obejmować kompromitację całej infrastruktury katalogowej organizacji.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem: https://www.manageengine.com/products/self-service-password/advisory/CVE-2026-11374.html
ManageEngine ADSelfService Plus, ManageEngine RecoveryManager Plus, ManageEngine M365 Manager Plus oraz ManageEngine ADAudit Plus — konkretne wersje wskazane w referencjach producenta
Podatność wymaga spełnienia warunku wysokiej złożoności ataku (AC:H według wektora CVSS), co oznacza, że skuteczne przewidzenie tokena może wymagać od atakującego dodatkowych informacji lub obserwacji systemu. Niemniej brak wymogu uwierzytelnienia oraz zasięg wpływu na wiele kluczowych produktów zarządzania tożsamością uzasadnia wysoką pilność działań naprawczych.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H