CVE-2023-35719
ManageEngine ADSelfService Plus GINA Client Insufficient Verification of Data Authenticity Authentication Bypass Vulnerability
Em resumo
O cliente GINA do ManageEngine ADSelfService Plus não verifica adequadamente os dados recebidos via HTTP, permitindo que um atacante fisicamente presente contorne o login e execute código com privilégios de sistema sem autenticação.
Detalhe técnico
A falha está no componente Password Reset Portal, onde dados HTTP carecem de verificação apropriada de autenticação (CWE-345). Um atacante não autenticado e fisicamente presente pode contornar controles de autenticação e executar código arbitrário com privilégios SYSTEM explorador a falta de verificação de autenticidade dos dados.
Resumo gerado e traduzido por IA a partir da descrição oficial.
ManageEngine ADSelfService Plus GINA Client Insufficient Verification of Data Authenticity Authentication Bypass Vulnerability. This vulnerability allows physically present attackers to execute arbitrary code on affected installations of ManageEngine ADSelfService Plus. Authentication is not required to exploit this vulnerability.
The specific flaw exists within the Password Reset Portal used by the GINA client. The issue results from the lack of proper authentication of data received via HTTP. An attacker can leverage this vulnerability to bypass authentication and execute code in the context of SYSTEM. Was ZDI-CAN-17009.
CVSS:3.0/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
ManageEngine · ADSelfService PlusQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →