ManageEngine – CVE-2022-47966
Date de publication :
Date de mise à jour :
L’utilisation d’une version non mise à jour de la librairie Apache Santuario dans plusieurs produits ManageEngine permet à un attaquant, en envoyant des requêtes spécifiquement forgées, d’exécuter du code arbitraire sur le système.
Informations
La faille est activement exploitée : Oui
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire
Exploitation
La vulnérabilité exploitée est du type
CWE-20: Improper Input Validation
Détails sur l’exploitation
• Vecteur d’attaque : Réseau.
• Complexité de l’attaque : Faible.
• Privilèges nécessaires pour réaliser l’attaque : Aucun.
• Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
• L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Systèmes ou composants affectés
ManageEngine configuré avec une SSO (Authentification Unique) SAML
• Access Manager Plus versions 4307 et antérieures
• Analytics Plus versions 5140 et antérieures
• Application Control Plus versions 10.1.2220.17 et antérieures
• Browser Security Plus versions 11.1.2238.5 et antérieures
• Device Control Plus versions 10.1.2220.17 et antérieures
• Endpoint Central versions 10.1.2228.10 et antérieures
• Endpoint Central MSP versions 10.1.2228.10 et antérieures
• Endpoint DLP versions 10.1.2137.5 et antérieures
• Key Manager Plus versions 6400 et antérieures
• OS Deployer versions 1.1.2243.0 et antérieures
• PAM 360 versions 5712 et antérieures
• Password Manager Pro versions 12123 et antérieures
• Patch Manager Plus versions 10.1.2220.17 et antérieures
• Remote Access Plus versions 10.1.2228.10 et antérieures
• Remote Monitoring and Management (RMM) versions 10.1.40 et antérieures
• Vulnerability Manager Plus versions 10.1.2220.17 et antérieures
ManageEngine ayant déjà été configuré avec une SSO (Authentification Unique) SAML
• Active Directory 360 versions 4309 et antérieures
• ADAudit Plus versions 7080 et antérieures
• ADManager Plus versions 7161 et antérieures
• ADSelfService Plus versions 6210 et antérieures
• Asset Explorer versions 6982 et antérieures
• ServiceDesk Plus versions 14003 et antérieures
• ServiceDesk Plus MSP versions 13000 et antérieures
• SupportCenter Plus versions comprises entre 11017 et 11025
Solutions ou recommandations
Mettre à jour les produits ManageEngine vers les versions suivantes ou ultérieures :
• Access Manager Plus version 4308
• Analytics Plus version 5150
• Application Control Plus version 10.1.2220.18
• Browser Security Plus version 11.1.2238.6
• Device Control Plus version 10.1.2220.18
• Endpoint Central version 10.1.2228.11
• Endpoint Central MSP version 10.1.2228.11
• Endpoint DLP version 10.1.2137.6
• Key Manager Plus version 6401
• OS Deployer version 1.1.2243.1
• PAM 360 version 5713
• Password Manager Pro version 12124
• Patch Manager Plus version 10.1.2220.18
• Remote Access Plus version 10.1.2228.11
• Remote Monitoring and Management (RMM) version 10.1.41
• Vulnerability Manager Plus version 10.1.2220.18
• Active Directory 360 version 4310
• ADAudit Plus version 7081
• ADManager Plus version 7162
• ADSelfService Plus version 6211
• Asset Explorer version 6983
• ServiceDesk Plus version 14004
• ServiceDesk Plus MSP version 13001
• SupportCenter Plus version 11026
Plus d’informations disponibles dans le bulletin ManageEngine.