ZOHO ManageEngine ADSelfService Plus命令注入漏洞
VSole2022-04-11 18:27:07
0x01、漏洞狀態
漏洞細節 漏洞POC 漏洞EXP 在野利用 否 未知 未知 未知 |
0x02、漏洞描述
ZOHO ManageEngine ADSelfService Plus是美國卓豪(ZOHO)公司的針對 Active Directory 和云應用程序的集成式自助密碼管理和單點登錄解決方案。
2022年4月9日,ZOHO發布安全公告,修復了一個 ZOHO ManageEngine ADSelfService Plus中的命令注入漏洞。漏洞編號:CVE-2022-28810,漏洞威脅等級:高危。
ZOHO ManageEngine ADSelfService Plus命令注入漏洞
ZOHO ManageEngine ADSelfService Plus命令注入漏洞 漏洞編號 CVE-2022-28810 漏洞類型 命令注入 漏洞等級 高危 公開狀態 未知 在野利用 未知 漏洞描述 當管理員啟用自定義腳本以與所需提供商同步密碼并在同步過程中將密碼設置為參數發送時,該漏洞可能導致遠程命令執行。 執行密碼更改或重置時,經過身份驗證的最終用戶可以通過在密碼字段中輸入 CMD 命令來利用此漏洞,并使其在安裝了 ADSelfService Plus 服務器的計算機上遠程運行。 |
0x03、漏洞等級
高危
0x04、影響版本
ManageEngine ADSelfService Plus<=Builds 6121
0x05、修復建議
廠商已發布補丁修復漏洞,用戶請盡快更新至安全版本:
6122
與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。
VSole
網絡安全專家