Zohoのパスワードリセット製品にアカウント乗っ取りの脆弱性
Zohoのパスワードリセット製品「ManageEngine ADSelfService Plus(ADSSP)」にアカウントの乗っ取りが可能となる脆弱性が明らかとなった。
同製品は、ユーザー自身でアカウントロックの解除やパスワードのリセットなどを行うことができるパスワード管理製品。同製品においてアカウント乗っ取りの脆弱性「CVE-2025-1723」が判明した。
セッション管理の不備に起因し、多要素認証が無効化されている環境においてユーザーの登録情報が漏洩するおそれがあり、アカウントを乗っ取られるおそれがある。バグ報奨金制度を通じて報告を受けたという。
同社は共通脆弱性評価システム「CVSSv3.1」のベーススコアを「8.1」とし、重要度を「高(High)」とレーティングした。
同社は現地時間2月26日にリリースした「Build 6511」で脆弱性を修正。同バージョン以降へアップデートするよう呼びかけている。
(Security NEXT - 2025/03/06 )
ツイート
PR
関連記事
SonicWall「SMA100」狙う攻撃の増加に注意 - 国内でも対象機器が動作か
「Apache ActiveMQ」に脆弱性 - メモリ枯渇のおそれ
「Node.js」に脆弱性 - 5月14日にもアップデートを公開予定
XML解析ライブラリ「libexpat」に脆弱性 - DoS攻撃などのおそれ
Arista「CloudVision」に管理者権限を取得される脆弱性
「FortiOS」の認証回避脆弱性、攻撃継続中 - 国内でも被害
米当局、悪用が確認された既知脆弱性2件について注意喚起
「Active! mail」脆弱性の侵害確認方法、引き続き調査
「Apache Tomcat」に複数脆弱性 - 4月上旬のアプデで修正済み
大規模言語モデル推論エンジン「vLLM」に深刻な脆弱性
