Omisión de autenticación en productos ManageEngine
Fecha de publicación 19/08/2022
Identificador
INCIBE-2022-0889
Importancia
5 - Crítica
Recursos Afectados
- OpManager,
- OpManager Plus,
- OpManager MSP,
- Network Configuration Manager,
- NetFlow Analyzer,
- Firewall Analyzer,
- OpUtils.
Para estos productos, las versiones de builds concretos afectadas son:
- desde 126113 hasta 126117,
- desde 126100 hasta 126103,
- 126000 y 126001,
- 125664,
- desde 125450 hasta 125656.
Descripción
Se ha identificado una vulnerabilidad crítica en varios productos de ManageEngine que podría permitir a un atacante omitir el proceso de autenticación y acceder a API externas.
Solución
Detalle
El fallo específico se ubica en la función getUserAPIKey, concretamente debido a la falta de autenticación antes de permitir el acceso a la funcionalidad. Un atacante podría aprovechar esta vulnerabilidad para omitir la autenticación en el sistema. Se ha asignado el identificador CVE-2022-36923 para esta vulnerabilidad.
Listado de referencias
Etiquetas