Zoho：立即修复这个严重的ManageEngine漏洞！

Sergiu Gatlan 代码卫士 2023-01-05 18:13

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Zoho 督促客户修复影响多款ManageEngine产品的一个严重漏洞。本周一，Zoho 公司提醒称，“该安全公告是为了告知大家，我们检测到了一个严重的安全漏洞。”

该漏洞的编号是CVE-2022-47523，是位于Password Manager Pro 安全密码管理器PAM360特权权限管理软件和Access Manager Plus特权会话管理解决方案中的一个SQL注入漏洞。该漏洞如遭成功利用，可导致攻击者对后台数据库具有未认证访问权限，并导致他们执行自定义查询，访问数据库表条目。

Zoho 公司指出，“我们在内部框架中发现一个SQL注入漏洞（CVE-2022-47523），可导致所有用户获得对后台数据库的未认证访问权限。”该公司还提到，“鉴于该漏洞的严重性，强烈建议客户立即升级至PAM360、Password Manager Pro和Access Manager Plus的最新build版本。”

Zoho 公司表示，上个月通过逃逸特殊字符和增加恰当验证的方式修复了该漏洞。要更新安装，需要受陷下载产品最新版本。接着是根据每个产品Upgrade Pack页面上的可用升级指令，部署最新build。

今年9月份，CISA提醒称另外一个ManageEngine 严重漏洞（CVE-2022-35405）已遭在野利用，用于获得运行PAM360、Access Manger Plus和Password Manager Pro的未修复服务器上的远程代码执行权限。

美国联邦民事行政部门 (FCEB)机构有三个月的时间修复这些易受攻击的系统并确保网络不受利用尝试困扰。

Zoho ManageEngine 服务器近年来一直遭受攻击，例如，Desktop Central 实例被黑，自2020年7月起，受陷组织机构网络的访问权限就在黑客论坛上出售。在2021年8月至10月期间，国家黑客组织被指攻击ManageEngine服务器。为了应对大规模的攻击情况，FBI和CISA联合发布两份安全公告，提醒注意国家黑客组织利用ManageEngine 漏洞在关键基础设施组织机构网络中安装后门。

---

代码卫士试用地址：
https://codesafe.qianxin.com

开源卫士试用地址：
https://oss.qianxin.com

推荐阅读

CISA提醒修复Zoho ManageEngine RCE漏洞

Zoho：尽快修复已遭利用的 ManageEngine 严重漏洞

FireEye红队失窃工具大揭秘之：分析复现Zoho ManageEngine RCE (CVE-2020-10189)

原文链接

https://www.bleepingcomputer.com/news/security/zoho-urges-admins-to-patch-critical-manageengine-bug-immediately/

题图：
Pexels License

‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错，就点个 “
在看
” 或 “
赞
” 吧~