Çeşitli Zohocorp ManageEngine ürünlerinde bazı kritik güvenlik açıkları keşfedildi. Şimdi şirket güvenlik açıklarına dair söylentiler yayınladı. Güvenlik açıklarını kapatmak için yazılım güncellemeleri mevcuttur.
Duyurudan sonra devamını okuyun
Zohocorp ManageEngine Analytics Plus, saldırganların önceden kimlik doğrulaması yapmadan yetersiz filtre yapılandırması nedeniyle SQL enjeksiyon güvenlik açığından yararlanmasına olanak tanır. Üretici, bunun saldırganların hesapları ele geçirmesine olanak sağlayacağını yazıyor. Sürüm 6170 ve önceki sürümler etkilenir (CVE-2025-8324, CVSS 9.8“Risk”eleştirmen“). August Analytics Plus yerel derlemesi 6171 hatayı düzeltir.
Sürüm 178100'e kadar olan Uygulama Yöneticisi'nde “Programı çalıştır” işlevindeki yetersiz yapılandırma, saldırganların oturum açtıktan sonra bile komutları enjekte edebileceği anlamına gelir (CVE-2025-9223, CVSS) 8.8“Risk”yüksek“). Üreticinin güvenlik açığına ilişkin açıklaması, yasaklanmış komutların kara listesini atlamanın mümkün olduğunu açıkça ortaya koyuyor. Geliştiriciler bunu 178001 ila 178009 ve 178200 sürümlerinde düzeltti.
Daha savunmasız ürünler
Exchange Reporter Plus'ta 5723 sürümüne kadar ve sürüm 5723 de dahil olmak üzere depolanan dört adet siteler arası komut dosyası çalıştırma güvenlik açığı bulunmaktadır. Geliştiricilerin değerlendirmesine göre, saldırganlar yükseltilmiş ayrıcalıklara sahip hesaplar oluşturabilir ve bu hesaplara yetkisiz erişim elde edebilir (CVE-2025-7429, CVE-2025-7430, CVE-2025-7432, CVE-2025-7433; tüm CVSS) 7.3“Risk”yüksek“). Hataları giderilen yazılım, bu yılın Temmuz ayı sonundan bu yana 5724 ve sonraki sürümlerde kullanıma sunuldu.
OpManager'da 128609 sürümüne kadar ve diğer sürümler de dahil olmak üzere başka bir güvenlik açığı bulunabilir. Saldırganlar, SNMP tuzak işlemede depolanmış bir siteler arası komut dosyası çalıştırma güvenlik açığından yararlanabilir (CVE-2025-9227, CVSS) 6.5“Risk”orta“). Ağustos ayının sonundan bu yana yöneticiler OpManager, OpManager Enterprise Edition, OpManager Plus, OpManager Plus Enterprise Edition ve OpManager MSP 128610, 128598, 128543 ve 128466'ya güncelleme yaparak güvenlik açığını kapatmayı başardılar. Saldırganlar bu açıktan yararlanarak yöneticinin CSRF'sini ve oturum belirtecini çalabilir ve bunları bir kabuk tersine çevirmek ve yürütmek için kullanabilir. Üretici, sunucuda rastgele kod bulunduğunu açıklıyor.
Mayıs ayının sonunda şirket, ManageEngine ADAudit Plus'taki yüksek riskli güvenlik açıklarını kapattı.
Duyurudan sonra devamını okuyun
(Bilmiyorum)
Bir yanıt yazın