Fecha de publicación: 19/08/2022
Importancia:
Crítica
Recursos afectados:
- OpManager,
- OpManager Plus,
- OpManager MSP,
- Network Configuration Manager,
- NetFlow Analyzer,
- Firewall Analyzer,
- OpUtils.
Para estos productos, las versiones de builds concretos afectadas son:
- desde 126113 hasta 126117,
- desde 126100 hasta 126103,
- 126000 y 126001,
- 125664,
- desde 125450 hasta 125656.
Descripción:
Se ha identificado una vulnerabilidad crítica en varios productos de ManageEngine que podría permitir a un atacante omitir el proceso de autenticación y acceder a API externas.
Solución:
El fabricante ha publicado las siguientes versiones para corregir esta vulnerabilidad:
Es muy aconsejable regenerar la APIKey para todos los usuarios una vez que se haya realizado la actualización.
Detalle:
El fallo específico se ubica en la función getUserAPIKey, concretamente debido a la falta de autenticación antes de permitir el acceso a la funcionalidad. Un atacante podría aprovechar esta vulnerabilidad para omitir la autenticación en el sistema. Se ha asignado el identificador CVE-2022-36923 para esta vulnerabilidad.
Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.