Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Manageengine Analytics Plus: Sicherheitslücke erlaubt Rechteausweitung

In Manageengine Analytics Plus von Zohocorp können Angreifer aufgrund einer Schwachstelle ihre Rechte ausweiten. Dies gelingt durch unbefugt möglichen Zugriff auf sensible Daten.

Anzeige

In der Sicherheitsmitteilung von Zoho erörtern die Autoren, dass eine Schwachstelle in Analytics Plus sensible Daten offenlegt. Angemeldete Nutzerinnen und Nutzer können dadurch an sensible Token gelangen, die mit dem "org-admin"-Konto verknüpft sind. Das ermöglicht ihnen eine unbeabsichtigte Ausweitung ihrer Rechte (CVE-2024-52323, CVSS 8.1, Risiko "hoch").

"Diese Schwachstelle ermöglicht Angreifern, Admin-Aktionen auszuführen. Sie können etwa Nutzerinnen und Nutzer hinzufügen oder entfernen und Konfigurationen verändern", erklären die Autoren der Sicherheitsmitteilung.

Das Problem lösen die Softwareentwickler dadurch, dass sie ungenutzten und verwundbaren Code aus der Anwendung entfernen. Das eliminiere die Schwachstelle, führen die Entwickler weiter aus.

Manageengine Anayltics Plus kann Daten aus unterschiedlichen Anwendungen im Netzwerk annehmen und auswerten, um damit etwa Berichte für Admins zu erstellen. Von dem Sicherheitsleck ist Manageengine Analytics Plus bis zur nun erschienenen Fassung mit der Build-Nummer 6100 betroffen. IT-Verantwortliche sollen "freundlicherweise das letzte Upgrade-Pack" von der zugehörigen Download-Seite herunterladen und anwenden. Dort ist auch eine Upgrade-Anleitung verlinkt.

Anfang des Monats hatte Zoho bereits eine Sicherheitslücke in Manageengine ADManager Plus schließen müssen. Aufgrund einer SQL-Injection-Lücke konnten Angreifer SQL-Befehle einschleusen. Die Schwachstelle ermöglichte authentifizierten Angreifern, eigene Abfragen auszuführen und unbefugten Zugriff auf Datenbank-Tabellen-Einträge zu erlangen, erklärte der Hersteller das Problem.

Anzeige

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Dirk Knop)
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

heise meets … Leben wir in einer Simulation?
l+f: Erst hacken, dann schützen
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Samstag, 14. Dezember 2024

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image