ГлавнаяБаза уязвимостей БДУ → BDU:2023-00351
10критическая

BDU:2023-00351 (CVE-2023-22964)

Уязвимость реализации механизма процедуры аутентификации по протоколу LDAP системы управления IT-службами Zoho ManageEngine ServiceDesk Plus, позволяющая нарушителю повысить свои привилегии
Опубликовано: 2023-01-25
Описание

Уязвимость реализации механизма процедуры аутентификации по протоколу LDAP системы управления IT-службами Zoho ManageEngine ServiceDesk Plus связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии

Затрагиваемое ПО и версии
ManageEngine ServiceDesk Plus MSP (от 10600 до 10610 включительно)ManageEngine ServiceDesk Plus MSP (от 13000 до 13003 включительно)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение LDAP-аутентификации;
- использование средств межсетевого экранирования для ограничения возможности удаленного доступа.

Использование рекомендаций:
https://www.manageengine.com/products/service-desk-msp/cve-2023-22964.html

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.manageengine.com/products/service-desk-msp/cve-2023-22964.html
Проверьте безопасность своего сайта и почты → Полная проверка домена