CISA avverte sulle vulnerabilità di ManageEngine ADSelfService.


L'agenzia statunitense per la sicurezza informatica CISA, ha avvertito dello sfruttamento attivo delle vulnerabilità in Zoho ManageEngine ADSelfService.



ManageEngine ADSelfService è una soluzione integrata di gestione delle password self-service e single sign-on per Active Directory di Microsoft Windows che consente agli amministratori di utilizzare 2FA per accedere alle applicazioni e agli utenti per reimpostare le proprie password.


ADSelfService Plus fornisce inoltre agli utenti un accesso istantaneo sicuro a tutte le applicazioni aziendali abilitate per SAML, inclusi Office 365, Salesforce e G Suite. Questa vulnerabilità è monitorata con la CVE-2021-40539.



Il bug riguarda la capacità di bypassare l'autenticazione dell'API REST, che potrebbe portare all'esecuzione di codice remoto (RCE) e consentire ad un utente malintenzionato di assumere il controllo di un sistema interessato. Gli assembly di ADSelfService Plus fino alla versione 6113 sono a rischio.


Ricordiamo che questa è la quinta vulnerabilità di sicurezza riscontrata in ManageEngine ADSelfService Plus dall'inizio dell'anno, (CVE-2021-37421, CVE-2021-37417 e CVE-2021-33055) che sono state risolte negli ultimi aggiornamenti.