CVE-2023-35719
ManageEngine ADSelfService Plus GINA Client Insufficient Verification of Data Authenticity Authentication Bypass Vulnerability
En resumen
El cliente GINA de ManageEngine ADSelfService Plus no verifica adecuadamente los datos recibidos por HTTP, permitiendo que un atacante presente físicamente evite el inicio de sesión y ejecute código con privilegios de sistema sin autenticación.
Detalle técnico
La vulnerabilidad existe en el componente Password Reset Portal donde los datos HTTP carecen de verificación apropiada de autenticación (CWE-345). Un atacante no autenticado y presente físicamente puede eludir controles de autenticación y ejecutar código arbitrario con privilegios SYSTEM explotando la falta de verificación de autenticidad de datos.
Resumen generado y traducido por IA a partir de la descripción oficial.
ManageEngine ADSelfService Plus GINA Client Insufficient Verification of Data Authenticity Authentication Bypass Vulnerability. This vulnerability allows physically present attackers to execute arbitrary code on affected installations of ManageEngine ADSelfService Plus. Authentication is not required to exploit this vulnerability.
The specific flaw exists within the Password Reset Portal used by the GINA client. The issue results from the lack of proper authentication of data received via HTTP. An attacker can leverage this vulnerability to bypass authentication and execute code in the context of SYSTEM. Was ZDI-CAN-17009.
CVSS:3.0/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
ManageEngine · ADSelfService Plus¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →