ManageEngine - CVE-2026-2740

Date de publication :

Il s'agit d'une vulnérabilité dans le canal de communication entre le serveur et les agents déployés sur les machines clientes de ManageEngine ADSelfService Plus, DataSecurity Plus et RecoveryManager Plus.

ManageEngine ADSelfService Plus est une solution de gestion des mots de passe en libre-service et d'authentification unique (SSO) pour les environnements Active Directory et applications cloud. Elle permet aux utilisateurs de réinitialiser leurs mots de passe et de déverrouiller leurs comptes de façon autonome, et aux administrateurs d'appliquer des politiques d'authentification multifacteur. Elle est déployée en mode serveur avec des agents installés sur les postes clients.

Les contrôles d'accès appliqués au service responsable de l'installation et de la communication avec ces agents sont insuffisants, en raison d'une dépendance tierce affectée par une injection de commande. Un utilisateur de domaine authentifié peut intercepter ce canal de service et y injecter des commandes arbitraires. Ces commandes sont exécutées sur les machines clientes où l'agent est installé, dans le contexte du service concerné.

Elle permet une exécution de code arbitraire à distance sur les postes clients gérés par les agents des produits affectés.

CVE-2026-2740

[Score CVSS v3.1 : 8.4]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Exécution de code arbitraire (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-77 : Improper Neutralization of Special Elements used in a Command ('Command Injection')

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Élevée
•   Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   ManageEngine ADSelfService Plus versions 6524 et antérieures
•   ManageEngine DataSecurity Plus versions 6263 et antérieures
•   ManageEngine RecoveryManager Plus versions 6312 et antérieures

Solutions ou recommandations

•   ManageEngine ADSelfService Plus versions 6525 et supérieures
•   ManageEngine DataSecurity Plus versions 6264 et supérieures
•   ManageEngine RecoveryManager Plus versions 6313 et supérieures

Liens