Fecha de publicaciĆ³n: 19/08/2022
Importancia:
CrĆtica
Recursos afectados:
- OpManager,
- OpManager Plus,
- OpManager MSP,
- Network Configuration Manager,
- NetFlow Analyzer,
- Firewall Analyzer,
- OpUtils.
Para estos productos, las versiones de builds concretos afectadas son:
- desde 126113 hasta 126117,
- desde 126100 hasta 126103,
- 126000 y 126001,
- 125664,
- desde 125450 hasta 125656.
DescripciĆ³n:
Se ha identificado una vulnerabilidad crĆtica en varios productos de ManageEngine que podrĆa permitir a un atacante omitir el proceso de autenticaciĆ³n y acceder a API externas.
SoluciĆ³n:
El fabricante ha publicado las siguientes versiones para corregir esta vulnerabilidad:
Es muy aconsejable regenerar la APIKey para todos los usuarios una vez que se haya realizado la actualizaciĆ³n.
Detalle:
El fallo especĆfico se ubica en la funciĆ³n getUserAPIKey, concretamente debido a la falta de autenticaciĆ³n antes de permitir el acceso a la funcionalidad. Un atacante podrĆa aprovechar esta vulnerabilidad para omitir la autenticaciĆ³n en el sistema. Se ha asignado el identificador CVE-2022-36923 para esta vulnerabilidad.
Etiquetas:
ActualizaciĆ³n, Infraestructuras crĆticas, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ćŗnicamente informativa y su veracidad estĆ” supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĆ³mo servicio para facilitar a usuarios y empresas la obtenciĆ³n de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.