ZOHO ManageEngine ADSelfService Plus命令注入漏洞
VSole2022-04-11 18:27:07
0x01、漏洞状态
漏洞细节 漏洞POC 漏洞EXP 在野利用 否 未知 未知 未知 |
0x02、漏洞描述
ZOHO ManageEngine ADSelfService Plus是美国卓豪(ZOHO)公司的针对 Active Directory 和云应用程序的集成式自助密码管理和单点登录解决方案。
2022年4月9日,ZOHO发布安全公告,修复了一个 ZOHO ManageEngine ADSelfService Plus中的命令注入漏洞。漏洞编号:CVE-2022-28810,漏洞威胁等级:高危。
ZOHO ManageEngine ADSelfService Plus命令注入漏洞
ZOHO ManageEngine ADSelfService Plus命令注入漏洞 漏洞编号 CVE-2022-28810 漏洞类型 命令注入 漏洞等级 高危 公开状态 未知 在野利用 未知 漏洞描述 当管理员启用自定义脚本以与所需提供商同步密码并在同步过程中将密码设置为参数发送时,该漏洞可能导致远程命令执行。 执行密码更改或重置时,经过身份验证的最终用户可以通过在密码字段中输入 CMD 命令来利用此漏洞,并使其在安装了 ADSelfService Plus 服务器的计算机上远程运行。 |
0x03、漏洞等级
高危
0x04、影响版本
ManageEngine ADSelfService Plus<=Builds 6121
0x05、修复建议
厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:
6122
与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
VSole
网络安全专家