ADのPWセルフリセット製品にRCE脆弱性 - 報奨金制度で報告

「Active Directory」においてユーザー自身でアカウントロックの解除やパスワードのリセットを行える機能を提供するZohoの「ManageEngine ADSelfService Plus」に深刻な脆弱性が含まれていることがわかった。

同製品に、認証を必要とすることなく、リモートからコードの実行が可能となる脆弱性「CVE-2020-11518」が明らかとなったもの。バグバウンティプログラムを通じて報告を受けたという。

米国立標準技術研究所（NIST）の脆弱性データベース「NVD」による共通脆弱性評価システム「CVSSv3.1」のベーススコアは、最高値10のところ「9.8」とレーティングされている。

脆弱性の判明を受け、同社では4月4日に脆弱性を修正した「同5815」をリリースした。

（Security NEXT - 2020/04/20 ） ツイート

PR

関連記事

AI開発向けフレームワーク「NVIDIA NeMo」に複数脆弱性
「ManageEngine」の複数製品でアカウント乗っ取りのおそれ
UbiquitiやLantronix製品の脆弱性悪用に注意喚起 - 米当局
KDDIのISP向けメールシステム侵害 - 提供先6社に影響
「Drupal」コアに脆弱性 - 影響を受ける環境は限定的
Zyxel「GS1900」シリーズに脆弱性 - LAN経由でOSコマンド実行のおそれ
「Autodesk Fusion」に脆弱性 - 悪意あるページ閲覧でRCEのおそれ
ID管理基盤「OpenAM」にアップデート - 多数の脆弱性を修正
「WooCommerce」旧版にRCE脆弱性 - 実証コードも
「Node.js」に12件の脆弱性 - 修正版を公開