Softwarebedrijf Zoho adviseert klanten om een kwetsbaarheid in ManageEngine Password Manager Pro, PAM360 en Access Manager Plus direct te patchen. Beveiligingslekken in deze software zijn in het verleden vaker doelwit van aanvallen geweest. Password Manager Pro is een "gecentraliseerde wachtwoordkluis" die bedrijven zelf kunnen hosten.
Volgens ManageEngine loggen elke dag meer dan 300.000 systeembeheerders en eindgebruikers op de wachtwoordmanager in en worden daarmee miljoenen wachtwoorden beheerd. PAM360 is een "privileged access management" oplossing, waarmee organisaties rechten en toegangsbeheer van medewerkers kunnen beheren en monitoren. Met Access Manager Plus is het mogelijk voor organisaties om de toegang tot remote systemen te beheren.
Door middel van SQL-injection is het mogelijk voor een aanvaller om toegang tot de database van de softwareoplossingen te krijgen. "Gegeven de ernst van deze kwetsbaarheid worden klanten ten zeerste aangeraden om meteen naar de laatste versie van PAM360, Password Manager Pro en Access Manager Plus te upgraden", aldus het beveiligingsbulletin. Twee dagen geleden besloot Zoho klanten opnieuw voor het lek (CVE-2022-47523) te waarschuwen en op de beschikbaarheid van de beveiligingsupdate te wijzen.
Deze posting is gelocked. Reageren is niet meer mogelijk.