BDU:2023-00171

BDU

КритическийПодтвержденаЭксплойт есть

Уязвимость программных продуктов ManageEngine связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нару…

CVSS

9.8

Критический

EPSS

0.00

Опубликовано

2023-01-01

Обновлено

2023-01-01

Описание

Уязвимость программных продуктов ManageEngine связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путем отправки специально сформированного SAML-запроса

Теги · CWE

Без аутентификации

Затронутые продукты

Zoho corp. Access manager plusZoho corp. Active directory 360Zoho corp. Admanager plusZoho corp. Analytics plusZoho corp. Application control plusZoho corp. Asset explorerZoho corp. Browser security plusZoho corp. Device control plusZoho corp. Endpoint centralZoho corp. Endpoint central mspZoho corp. Endpoint dlpZoho corp. Key manager plusZoho corp. Manageengine adselfservice plusZoho corp. Os deployerZoho corp. Pam360Zoho corp. Password manager proZoho corp. Patch manager plusZoho corp. Remote access plusZoho corp. Remote monitoring and management (rmm)Zoho corp. Servicedesk plus

Вектор CVSS

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Хронология

2023-01-01

Опубликована

2023-01-01

Обновлена

Разбор CVSS 3.1

Вектор атаки

AV: N

Сеть (N)

Сложность атаки

AC: L

Низкая (L)

Требуемые привилегии

PR: N

Отсутствуют (N)

Взаимодействие с пользователем

UI: N

Отсутствует (N)

Область воздействия

S: U

Неизменная (U)

Воздействие на конфиденциальность

C: H

Высокое (H)

Воздействие на целостность

I: H

Высокое (H)

Воздействие на доступность

A: H

Высокое (H)

Индикаторы эксплуатации

EPSS

0.000 · p0

Известна эксплуатация (KEV)

Нет

Проверки Сканер-ВС

BDU:2023-00171

bdu_exploit · https://bdu.fstec.ru/vul

Enterprise

CVE-2022-47966

github-poc · https://github.com/vonahisec/CVE-2022-47966-Scan

Enterprise

Уязвимое ПО

Продукт	Вендор	Статус
access manager plus	zoho corp.	Отслеживается
active directory 360	zoho corp.	Отслеживается
admanager plus	zoho corp.	Отслеживается
analytics plus	zoho corp.	Отслеживается
application control plus	zoho corp.	Отслеживается
asset explorer	zoho corp.	Отслеживается
browser security plus	zoho corp.	Отслеживается
device control plus	zoho corp.	Отслеживается
endpoint central	zoho corp.	Отслеживается
endpoint central msp	zoho corp.	Отслеживается
endpoint dlp	zoho corp.	Отслеживается
key manager plus	zoho corp.	Отслеживается
manageengine adselfservice plus	zoho corp.	Отслеживается
os deployer	zoho corp.	Отслеживается
pam360	zoho corp.	Отслеживается
password manager pro	zoho corp.	Отслеживается
patch manager plus	zoho corp.	Отслеживается
remote access plus	zoho corp.	Отслеживается
remote monitoring and management (rmm)	zoho corp.	Отслеживается
servicedesk plus	zoho corp.	Отслеживается

Источники данных

BDU

Связанные уязвимости

CVE-2022-47966

Внешние ссылки

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-47966@https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html@https://www.horizon3.ai/manageengine-cve-2022-47966-iocs/@https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv