Alvorlig SQL-injektionssårbarhed i Zoho-produkt

ManageEngine-brugere opfordres til at opdatere.

Zoho har i sidste uge udgivet rettelser til en alvorlig SQL-injektionssårbarhed i ManageEngine Password Manager Pro, PAM360 og Access Manager Plus. Det skriver Security Week m.fl.

Sårbarheden har id'et CVE-2022-47523, og den gør det muligt for angribere for at få adgang til informationer i databaser. Sårbarheden blev løst med udgivelsen af Password Manager Pro version 12210, PAM360 version 5801 og Access Manager Plus version 4309.

ManageEngine er en softwareløsning, der tilbyder administrationsfunktioner til endpoints, virksomhedstjenester, identitet og adgang, it-drift og sikkerhedsoplysninger og -begivenheder.

Zoho råder sine kunder til at opgradere til den seneste version af PAM360, Password Manager Pro og Access Manager Plus med det samme. Men tilføjer en anbefaling om, at at kunderne gennemfører en sikkerhedskopiering af data i deres Password Manager Pro-, PAM360- og Access Manager Plus-installationer før de opdaterer til den nye version. Dette for at sikre, at at der ikke opstår datatab.

Der er ikke oplysninger om, at sårbarheden skulle være udnyttet 'in the wild'. Men det fremgår, at der tidligere har været forsøg på angreb gennem udnyttelse af ManageEngine-fejl.

Links:

https://www.securityweek.com/zoho-urges-manageengine-users-patch-serious...

https://securityaffairs.com/140369/security/zoho-sql-injection-manageengine.html

https://www.manageengine.com/privileged-session-management/advisory/cve-...