Vulnerabilidad en ManageEngine ADSelfService Plus GINA (CVE-2023-35719)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-345 Verificación insuficiente de autenticidad de los datos

Fecha de publicación:

06/09/2023

Última modificación:

11/09/2023

Descripción

ManageEngine ADSelfService Plus GINA Client Verificación insuficiente de autenticidad de datos Vulnerabilidad de omisión de autenticación. Esta vulnerabilidad permite a atacantes físicamente presentes ejecutar código arbitrario en instalaciones afectadas de ManageEngine ADSelfService Plus. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe en el Portal de restablecimiento de contraseña utilizado por el cliente GINA. El problema se debe a la falta de autenticación adecuada de los datos recibidos a través de HTTP. Un atacante puede aprovechar esta vulnerabilidad para eludir la autenticación y ejecutar código en el contexto de SYSTEM. Era ZDI-CAN-17009.

Impacto

Vector 3.x

CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Físico
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto