In mehreren Produkten von Zohocorp ManageEngine sind teils kritische Schwachstellen entdeckt worden. Jetzt hat das Unternehmen Schwachstelleneinträge dazu veröffentlicht. Softwareupdates zum Schließen der Sicherheitslücken stehen bereit.
In Zohocorp ManageEngine Analytics Plus können Angreifer ohne vorherige Authentifizierung eine SQL-Injection-Schwachstelle missbrauchen, die auf eine unzureichende Filterkonfiguration zurückgeht. Damit könnten Angreifer etwa Konten übernehmen, schreibt der Hersteller. Betroffen sind Version 6170 und ältere (CVE-2025-8324, CVSS 9.8, Risiko "kritisch"). Analytics Plus on-premise Build 6171 aus dem August korrigiert den Fehler.
Im Application Manager bis einschließlich Version 178100 führt eine unzureichende Konfiguration in der "Programm ausführen"-Funktion dazu, dass Angreifer – allerdings nach vorheriger Anmeldung – Befehle einschleusen können (CVE-2025-9223, CVSS 8.8, Risiko "hoch"). Die Schwachstellenbeschreibung beim Hersteller verdeutlicht, dass eine Blacklist verbotener Befehle umgangen werden kann. In den Versionen 178001 bis 178009 sowie 178200 haben die Entwickler das korrigiert.
In Exchange Reporter Plus bis einschließlich Version 5723 klaffen gleich vier Sicherheitslücken vom Typ Stored-Cross-Site-Scripting. Laut Einschätzung der Entwickler können Angreifer etwa Konten mit erhöhten Rechten erstellen und darauf unbefugten Zugriff erlangen (CVE-2025-7429, CVE-2025-7430, CVE-2025-7432, CVE-2025-7433; alle CVSS 7.3, Risiko "hoch"). Fehlerkorrigierte Software steht bereits mit Build 5724 und neueren seit Ende Juli dieses Jahres zur Verfügung.
Eine weitere Sicherheitslücke findet sich in OpManager bis inklusive Version 128609 und weiteren Fassungen. In der SNMP-Trap-Verarbeitung können Angreifer eine Stored-Cross-Site-Scripting-Lücke missbrauchen (CVE-2025-9227, CVSS 6.5, Risiko "mittel"). Seit Ende August können Admins die Sicherheitslücke mit der Aktualisierung auf OpManager, OpManager Enterprise Edition, OpManager Plus, OpManager Plus Enterprise Edition und OpManager MSP 128610, 128598, 128543 sowie 128466 schließen. Angreifer könnten die Lücke ausnutzen, um den CSRF- und Session-Token vom Admin zu übernehmen und damit etwa eine Reverse Shell einrichten und beliebigen Code auf dem Server ausführen, erklärt der Hersteller.
Ende Mai hatte das Unternehmen hochriskante Sicherheitslücken in ManageEngine ADAudit Plus geschlossen.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare