Vulnerabilidad en Zoho ManageEngine ServiceDesk Plus (CVE-2022-47966)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
18/01/2023
Última modificación:
07/03/2025
Descripción
Múltiples productos locales de Zoho ManageEngine, como ServiceDesk Plus hasta 14003, permiten la ejecución remota de código debido al uso de Apache Santuario xmlsec (también conocido como XML Security para Java) 1.4.1, porque las funciones xmlsec XSLT, por diseño en esa versión, hacen la aplicación responsable de ciertas protecciones de seguridad, y las aplicaciones ManageEngine no proporcionaban esas protecciones. Esto afecta a Access Manager Plus anterior a 4308, Active Directory 360 anterior a 4310, ADAudit Plus anterior a 7081, ADManager Plus anterior a 7162, ADSelfService Plus anterior a 6211, Analytics Plus anterior a 5150, Application Control Plus anterior a 10.1.2220.18, Asset Explorer anterior a 6983, Browser Security Plus antes de 11.1.2238.6, Device Control Plus antes de 10.1.2220.18, Endpoint Central antes de 10.1.2228.11, Endpoint Central MSP antes de 10.1.2228.11, Endpoint DLP antes de 10.1.2137.6, Key Manager Plus antes de 6401, OS Deployer antes de 1.1.2243.1, PAM 360 antes de 5713, Password Manager Pro antes de 12124, Patch Manager Plus antes de 10.1.2220.18, Remote Access Plus antes de 10.1.2228.11, Remote Monitoring and Management (RMM) antes de 10.1.41. ServiceDesk Plus anterior a 14004, ServiceDesk Plus MSP anterior a 13001, SupportCenter Plus anterior a 11026 y Vulnerability Manager Plus anterior a 10.1.2220.18. La explotación solo es posible si alguna vez se ha configurado SAML SSO para un producto (para algunos productos, la explotación requiere que SAML SSO esté actualmente activo).
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:zohocorp:manageengine_access_manager_plus:*:*:*:*:*:*:*:* | 4.3 (excluyendo) | |
cpe:2.3:a:zohocorp:manageengine_access_manager_plus:4.3:build4300:*:*:*:*:*:* | ||
cpe:2.3:a:zohocorp:manageengine_access_manager_plus:4.3:build4301:*:*:*:*:*:* | ||
cpe:2.3:a:zohocorp:manageengine_access_manager_plus:4.3:build4302:*:*:*:*:*:* | ||
cpe:2.3:a:zohocorp:manageengine_access_manager_plus:4.3:build4303:*:*:*:*:*:* | ||
cpe:2.3:a:zohocorp:manageengine_access_manager_plus:4.3:build4304:*:*:*:*:*:* | ||
cpe:2.3:a:zohocorp:manageengine_access_manager_plus:4.3:build4305:*:*:*:*:*:* | ||
cpe:2.3:a:zohocorp:manageengine_access_manager_plus:4.3:build4306:*:*:*:*:*:* | ||
cpe:2.3:a:zohocorp:manageengine_access_manager_plus:4.3:build4307:*:*:*:*:*:* | ||
cpe:2.3:a:zohocorp:manageengine_ad360:*:*:*:*:*:*:*:* | 4.3 (excluyendo) | |
cpe:2.3:a:zohocorp:manageengine_ad360:4.3:4300:*:*:*:*:*:* | ||
cpe:2.3:a:zohocorp:manageengine_ad360:4.3:4302:*:*:*:*:*:* | ||
cpe:2.3:a:zohocorp:manageengine_ad360:4.3:4303:*:*:*:*:*:* | ||
cpe:2.3:a:zohocorp:manageengine_ad360:4.3:4304:*:*:*:*:*:* | ||
cpe:2.3:a:zohocorp:manageengine_ad360:4.3:4305:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/170882/Zoho-ManageEngine-ServiceDesk-Plus-14003-Remote-Code-Execution.html
- http://packetstormsecurity.com/files/170925/ManageEngine-ADSelfService-Plus-Unauthenticated-SAML-Remote-Code-Execution.html
- http://packetstormsecurity.com/files/170943/Zoho-ManageEngine-Endpoint-Central-MSP-10.1.2228.10-Remote-Code-Execution.html
- https://attackerkb.com/topics/gvs0Gv8BID/cve-2022-47966/rapid7-analysis
- https://blog.viettelcybersecurity.com/saml-show-stopper/
- https://github.com/apache/santuario-xml-security-java/tags?after=1.4.6
- https://github.com/horizon3ai/CVE-2022-47966
- https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-250a
- https://www.horizon3.ai/manageengine-cve-2022-47966-technical-deep-dive/
- https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html
- http://packetstormsecurity.com/files/170882/Zoho-ManageEngine-ServiceDesk-Plus-14003-Remote-Code-Execution.html
- http://packetstormsecurity.com/files/170925/ManageEngine-ADSelfService-Plus-Unauthenticated-SAML-Remote-Code-Execution.html
- http://packetstormsecurity.com/files/170943/Zoho-ManageEngine-Endpoint-Central-MSP-10.1.2228.10-Remote-Code-Execution.html
- https://attackerkb.com/topics/gvs0Gv8BID/cve-2022-47966/rapid7-analysis
- https://blog.viettelcybersecurity.com/saml-show-stopper/
- https://github.com/apache/santuario-xml-security-java/tags?after=1.4.6
- https://github.com/horizon3ai/CVE-2022-47966
- https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-250a
- https://www.horizon3.ai/manageengine-cve-2022-47966-technical-deep-dive/
- https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html