Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a Password Manager Pro, PAM360 y Access Manager Plus de ManageEngine, que permitiría a un atacante realizar inyección SQL y obtener acceso no autorizado a la base de datos del sistema afectado.
La vulnerabilidad identificada como CVE-2022-47523, de severidad “alta”, y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en la validación de datos de entrada en ManageEngine. Esto permitiría a un atacante obtener acceso no autorizado a la base de datos back-end y ejecutar consultas personalizadas en el sistema afectado.
Los productos afectados son:
- Password Manager Pro, versión 12200 y versiones anteriores.
- PAM360, versión 5800 y versiones anteriores.
- Access Manager Plus, versión 4308 y versiones anteriores.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante los siguientes enlaces:
Referencias:
- https://www.bleepingcomputer.com/news/security/zoho-urges-admins-to-patch-critical-manageengine-bug-immediately/
- https://nvd.nist.gov/vuln/detail/CVE-2022-47523
- https://www.manageengine.com/privileged-access-management/upgradepack.html
- https://www.manageengine.com/products/passwordmanagerpro/upgradepack.html
- https://www.manageengine.com/products/passwordmanagerpro/upgradepack.html