Zoho ManageEngine - CVE-2024-5466
Date de publication :
Un défaut de contrôle des paramètres dans les produits OpManager et RMM Zoho ManageEngine permet à un attaquant avec les droits d’écriture dans Deploy Agent d’exécuter du code arbitraire.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire
Exploitation
La vulnérabilité exploitée est du type
CWE-94: Improper Control of Generation of Code ('Code Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
OpManager, OpManager Plus, OpManager MSP, RMM versions 128329 et antérieures
Solutions ou recommandations
Mettre à jour OpManager vers la version 128330 ou ultérieure.
Mettre à jour OpManager Plus vers la version 128320 ou ultérieure.
Mettre à jour OpManager MSP vers la version 128268 ou ultérieure.
Mettre à jour RMM vers la version 128188 ou ultérieure.
Des informations complémentaires sont disponibles dans le bulletin de ManageEngine.