In Manageengine Analytics Plus von Zohocorp können Angreifer aufgrund einer Schwachstelle ihre Rechte ausweiten. Dies gelingt durch unbefugt möglichen Zugriff auf sensible Daten.
In der Sicherheitsmitteilung von Zoho erörtern die Autoren, dass eine Schwachstelle in Analytics Plus sensible Daten offenlegt. Angemeldete Nutzerinnen und Nutzer können dadurch an sensible Token gelangen, die mit dem "org-admin"-Konto verknüpft sind. Das ermöglicht ihnen eine unbeabsichtigte Ausweitung ihrer Rechte (CVE-2024-52323, CVSS 8.1, Risiko "hoch").
Sicherheitslücke verschafft Admin-Rechte
"Diese Schwachstelle ermöglicht Angreifern, Admin-Aktionen auszuführen. Sie können etwa Nutzerinnen und Nutzer hinzufügen oder entfernen und Konfigurationen verändern", erklären die Autoren der Sicherheitsmitteilung.
Das Problem lösen die Softwareentwickler dadurch, dass sie ungenutzten und verwundbaren Code aus der Anwendung entfernen. Das eliminiere die Schwachstelle, führen die Entwickler weiter aus.
Manageengine Anayltics Plus kann Daten aus unterschiedlichen Anwendungen im Netzwerk annehmen und auswerten, um damit etwa Berichte für Admins zu erstellen. Von dem Sicherheitsleck ist Manageengine Analytics Plus bis zur nun erschienenen Fassung mit der Build-Nummer 6100 betroffen. IT-Verantwortliche sollen "freundlicherweise das letzte Upgrade-Pack" von der zugehörigen Download-Seite herunterladen und anwenden. Dort ist auch eine Upgrade-Anleitung verlinkt.
Anfang des Monats hatte Zoho bereits eine Sicherheitslücke in Manageengine ADManager Plus schließen müssen. Aufgrund einer SQL-Injection-Lücke konnten Angreifer SQL-Befehle einschleusen. Die Schwachstelle ermöglichte authentifizierten Angreifern, eigene Abfragen auszuführen und unbefugten Zugriff auf Datenbank-Tabellen-Einträge zu erlangen, erklärte der Hersteller das Problem.
(dmk)
English (US) ·