注意 | ZOHO ManageEngine Access Manager Plus 身份验证绕过漏洞

时间：2022-04-29

0x01

漏洞状态

漏洞细节

漏洞POC

漏洞EXP

在野利用

否

未知

0x02

漏洞描述

Zoho ManageEngine Access Manager Plus是美国卓豪（ZOHO）公司的一种特权会话管理解决方案，用于企业集中、保护和管理特权会话的远程访问。

2022年4月13日，ZOHO发布安全公告，修复了一个 Zoho ManageEngine Access Manager Plus中的身份验证绕过漏洞。漏洞编号：CVE-2022-29081，漏洞威胁等级：中危。

ZOHO ManageEngine Access Manager Plus 身份验证绕过漏洞

漏洞编号

CVE-2022-29081

漏洞类型

身份验证绕过

漏洞等级

中危

公开状态

未知

在野利用

未知

漏洞描述

未经身份验证的攻击者可通过使用类似 “ /x/../RestAPI/ ” 的 URL，从而绕过 RESTAPI URL 的检查，导致获得对程序的访问权限。

0x03

漏洞等级

中危

0x04

影响版本

ManageEngine Access Manager Plus <4.3 Build 4302

0x05

修复建议

厂商已发布补丁修复漏洞，用户请尽快更新至安全版本：

4.3 Build 4302

与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

0x06

时间轴

2022-04-13

ZOHO发布安全公告，修复了一个 Zoho ManageEngine Access Manager Plus中的身份验证绕过漏洞。漏洞编号：CVE-2022-29081，漏洞威胁等级：中危。

2022-04-28

360漏洞云发布安全动态。