CVE-2022-29457

MITJÀ: (5.3)

CVSS6: 4.8

Els productes Zoho ManageEngine podrien permetre a un atacant remot obtenir informació sensible, causada per l’exposició d’informació durant certs passos de configuració de la ruta d’emmagatzematge. Mitjançant l’enviament d’una sol·licitud especialment elaborada, un atacant podria explotar aquesta vulnerabilitat per obtenir hashes NTLM, i utilitzar aquesta informació per llançar nous atacs contra el sistema afectat.

Sistemes Afectats

• Zoho ManageEngine Exchange Reporter Plus 6120
• Zoho ManageEngine ADAuditPlus 7059
• Zoho ManageEngine Exchange Reporter Plus 5700
• Zoho ManageEngine ADManagerPlus 7130

Remediació
Consulteu el lloc web ManageEngine per obtenir pedaç, actualitzar o suggerir informació de solució alternativa.

Referències

• https://docs.unsafe-inline.com/0day/multiple-manageengine-applications-critical-information-disclosure-vulnerability
• https://www.manageengine.com/products/self-service-password/release-notes.html
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29457