In ManageEngine ADManager Plus von Zohocorp können Angreifer eine SQL-Injection-Lücke missbrauchen und dadurch unbefugten Zugriff erlangen.
In ManageEngine ADManager Plus klafft eine Sicherheitslücke, die Angreifern unbefugten Zugriff ermöglicht. Sie können beliebige SQL-Abfragen einschleusen. Eine Softwareaktualisierung steht bereit, die das Sicherheitsleck stopft.

Im am heutigen Montag veröffentlichten CVE-Eintrag CVE-2024-48878 zur ManageEngine-Schwachstelle ordnen die Entwickler die Lücke als hohes Risiko mit einem CVSS-Wert von 8.3 ein. Im Archived Audit Report vom Admanager Plus findet sich die verantwortliche SQL-Injection-Lücke. “Diese Schwachstelle kann authentifizierten Angreifern erlauben, eigene Abfragen auszuführen und unbefugten Zugriff auf Datenbank-Tabellen-Einträge durch die verwundbare Anfrage zu erlangen”, erklären die ManageEngine-Entwickler in einer Sicherheitsmitteilung.

Aktualisierte Software verfügbar

Der sicherheitsrelevante Fehler betrifft ManageEngine ADManager Plus in Version 7241 und ältere Fassungen. Die Build-Nummer 7250 soll den Fehler ausbügeln, erklären die Autoren der Sicherheitsmitteilung. Laut den Release-Notes ist die Version 7250 zusammen mit 7251 bereits Anfang Oktober erschienen. Sie nennen jedoch keine sicherheitsrelevanten Änderungen in den neuen Versionen.

Admins können das Service-Pack respektive inzwischen eine neuere Version von der ADManager-Plus-Service-Pack-Seite herunterladen. Da der Hersteller die Lücke als hochriskant einstuft, sollten IT-Verantwortliche das Update rasch anwenden, um die Angriffsfläche für bösartige Akteure zu minimieren.
Anfang des Jahres hatte Zoho vor einer kritischen Sicherheitslücke in ManageEngine ADSelfService Plus gewarnt. Angreifer aus dem Netz konnten dadurch Code einschleusen und ausführen. IT-Sicherheitsforscher hatten in der Vergangenheit Proof-of-Concept-Exploitcode für Schwachstellen in mehreren ManageEngine-Produkten veröffentlicht, die deren Missbrauch durch Cyberkriminelle wesentlich wahrscheinlicher machten. Cyberkriminelle bauen derartige Proof-of-Concepts oftmals in ihren “Werkzeugkasten” ein und versuchen damit, Zugriff auf Netzwerke zu erlangen.