Omisión de autenticación en productos ManageEngine

Fecha de publicación 19/08/2022
Importancia
5 - Crítica
Recursos Afectados
  • OpManager,
  • OpManager Plus,
  • OpManager MSP,
  • Network Configuration Manager,
  • NetFlow Analyzer,
  • Firewall Analyzer,
  • OpUtils.

Para estos productos, las versiones de builds concretos afectadas son:

  • desde 126113 hasta 126117,
  • desde 126100 hasta 126103,
  • 126000 y 126001,
  • 125664,
  • desde 125450 hasta 125656.
Descripción

Se ha identificado una vulnerabilidad crítica en varios productos de ManageEngine que podría permitir a un atacante omitir el proceso de autenticación y acceder a API externas.

Solución

El fabricante ha publicado las siguientes versiones para corregir esta vulnerabilidad:

Es muy aconsejable regenerar la APIKey para todos los usuarios una vez que se haya realizado la actualización.

Detalle

El fallo específico se ubica en la función getUserAPIKey, concretamente debido a la falta de autenticación antes de permitir el acceso a la funcionalidad. Un atacante podría aprovechar esta vulnerabilidad para omitir la autenticación en el sistema. Se ha asignado el identificador CVE-2022-36923 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Authentication Bypass - CVE-2022-36923
ManageEngine Network Configuration Manager getUserAPIKey Authentication Bypass Vulnerability
ManageEngine OpManager getUserAPIKey Authentication Bypass Vulnerability
ManageEngine NetFlow Analyzer getUserAPIKey Authentication Bypass Vulnerability
ManageEngine OpManager Plus getUserAPIKey Authentication Bypass Vulnerability
Etiquetas