漏洞復現！ManageEngine ADSelfService Plus遠程代碼執行漏洞（CVE-2021-40539）

0x01 漏洞描述

ZOHO ManageEngine ADSelfService Plus是美國卓豪（ZOHO）公司的針對 Active Directory 和云應用程序的集成式自助密碼管理和單點登錄解決方案。

360漏洞云在網上監測到Zoho ManageEngine ADSelfService Plus6113版本及更早版本存在授權問題漏洞的消息。漏洞編號：CVE-2021-40539，漏洞威脅等級：嚴重。

該漏洞源于軟件很容易繞過REST API認證，從而導致遠程代碼執行。

0x02 危害等級

嚴重：9.8

0x03 漏洞復現

2021年12月1日，360漏洞云安全專家已復現上述漏洞，演示如下：

CVE-2021-40539

完整POC代碼已在360漏洞云情報平臺（https://loudongyun.#/）發布，360漏洞云情報平臺用戶可通過平臺下載進行安全自檢。

0x04 影響版本

ZOHO ManageEngine ADSelfService Plus <=6113

0x05 修復建議

廠商已發布升級修復該漏洞，用戶需盡快更新至安全版本：

ADSelfService Plus 6114。

與此同時，360漏洞云提醒您請做好資產自查以及預防工作，以免遭受黑客攻擊。