CRITICAL✓ PATCH🇬🇧 English

CVE-2025-11250

Authentication Bypass w Zohocorp ManageEngine ADSelfService Plus

CVSS 9.1v3.1pub. 2026-01-13upd. 2026-01-29

Podatność w ManageEngine ADSelfService Plus umożliwia ominięcie mechanizmów uwierzytelnienia bez posiadania jakichkolwiek poświadczeń. Ze względu na krytyczny poziom CVSS 9.1 oraz brak wymogu interakcji użytkownika, stanowi poważne zagrożenie dla środowisk korporacyjnych.

Pokaż oryginał (EN)

Zohocorp ManageEngine ADSelfService Plus versions before 6519 are vulnerable to Authentication Bypass due to improper filter configurations.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej konfiguracji filtrów uwierzytelniania (CWE-290 — Authentication Bypass by Spoofing). Błędnie skonfigurowane filtry pozwalają atakującemu na ominięcie kontroli dostępu i podszycie się pod uwierzytelnionego użytkownika lub administratora. Atak może zostać przeprowadzony zdalnie, przez sieć, bez konieczności posiadania konta ani interakcji ze strony ofiary.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do systemu z wysokim poziomem uprawnień, co skutkuje naruszeniem poufności oraz integralności danych zarządzanych przez aplikację, w tym potencjalnie danych uwierzytelniających użytkowników Active Directory.

Mitygacja

Należy niezwłocznie zaktualizować ManageEngine ADSelfService Plus do wersji 6519 lub nowszej. Szczegóły dostępne w oficjalnym biuletynie producenta: https://www.manageengine.com/products/self-service-password/advisory/CVE-2025-11250.html

Kogo dotyczy

Zohocorp ManageEngine ADSelfService Plus w wersjach wcześniejszych niż 6519

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Zohocorp Manageengine Adselfservice Plus

    APP
    Zohocorp
    6.5< 6.5
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2022-47966CRITICAL9.8⚠ KEVten sam produkt

Multiple Zoho ManageEngine on-premise products, such as ServiceDesk Plus through 14003, allow remote code exec...

CVE-2021-40539CRITICAL9.8⚠ KEVten sam produkt

Zoho ManageEngine ADSelfService Plus version 6113 and prior is vulnerable to REST API authentication bypass wi...

CVE-2023-35854CRITICAL9.8ten sam produkt

Zoho ManageEngine ADSelfService Plus through 6113 has an authentication bypass that can be exploited to steal ...

CVE-2022-36413CRITICAL9.1ten sam produkt

Zoho ManageEngine ADSelfService Plus through 6203 is vulnerable to a brute-force attack that leads to a passwo...

CVE-2021-37423CRITICAL9.8ten sam produkt

Zoho ManageEngine ADSelfService Plus 6111 and prior is vulnerable to linked applications takeover.