Исследователи обнаружили множество уязвимостей в линейке инструментов для ИТ-команд от ManageEngine. Эти инструменты используются более чем половиной компаний из списка Fortune 500.
Первый недостаток затрагивает EventLog Analyzer 11.8 и Log360 5.3, он может быть использован злоумышленником для удаленного выполнения кода с теми же привилегиями, что у пользователя, который запустил приложение. Используя этот баг, атакующий может загрузить web-shell.
Остальные бреши находятся в Applications Manager 13:
Несколько уязвимостей, способных привести к выполнению SQL-инъекций. Эти дыры в безопасности могут привести к полной компрометации приложения Applications Manager и могут быть использованы для выполнения произвольного кода от лица SYSTEM в Windows.
- Локальная PHP-инъекция, может быть использована для извлечения чувствительной информации.
- Уязвимость раскрытия ключа API, которая может быть использована для компрометации приложения и хоста.
- Разработчиков ManageEngine уведомили о проблеме, что позволило быстро принять меры, выпустив соответствующие патчи.
«Команда ManageEngine устранила эти уязвимости, в настоящее время патчи доступны для каждого из затронутых приложений. Обновления можно загрузить с сайта ManageEngine», — отметили исследователи.
