ManageEngine - CVE-2023-26600
Date de publication :
Date de mise à jour :
Un défaut de vérification de données transmises par un utilisateur dans la fonction generateSQLReport permet à un attaquant authentifié d’élever ses privilèges.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Élévation de privilèges
Exploitation
La vulnérabilité exploitée est du type
CWE-269: Improper Privilege Management
Détails sur l'exploitation
• Vecteur d'attaque : Réseau.
• Complexité de l'attaque : Faible.
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple.
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non.
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui.
Preuve de concept
Actuellement, aucune preuve de concept n’est disponible en sources ouvertes.
Systèmes ou composants affectés
ManageEngine ServiceDesk Plus versions 14103 et antérieures.
ManageEngine ServiceDesk Plus MSP versions 13004 et antérieures.
ManageEngine SupportCenter Plus versions 11027 et antérieures.
ManageEngine AssetExplorer versions 6987 et antérieures.
Solutions ou recommandations
Mettre à jour ManageEngine ServiceDesk Plus vers la version 14104 ou ultérieure.
Mettre à jour ManageEngine ServiceDesk Plus MSP vers la version 14000 ou ultérieure.
Mettre à jour ManageEngine SupportCenter Plus vers la version 14000 ou ultérieure.
Mettre à jour ManageEngine AssetExplorer vers la version 6988 ou ultérieure.
Des informations complémentaires sont disponibles dans le bulletin de ManageEngine.