Otkrivena ozbiljna ranjivost u Zoho ManageEngine
Zoho ispravio ozbiljnu ranjivost u alatu ManageEngine Applications Manager koja omogućava zaobilaženje provjere komandi.
Kompanija Zoho objavila je sigurnosno ažuriranje za svoj alat ManageEngine Applications Manager, nakon što je otkrivena ranjivost koja omogućava zaobilaženje provjere komandi i potencijalno pokretanje naredbi s administratorskim ovlaštenjima.
Ranjivost je označena kao CVE-2025-9223, a problem se javlja u funkciji za izvršavanje komandi gdje napadač može zaobići postojeću „blacklist“ kontrolu. To je moguće tako što se komanda navede putem apsolutne putanje, čime se izbjegava sigurnosna provjera i omogućava pokretanje naredbi na nivou administratora.
Iako se za zloupotrebu greške zahtijevaju određena ovlaštenja, njen uticaj je i dalje značajan. Prema CVSS v3.1 metodologiji, ranjivost nosi visoku ocjenu od 8.8, što je čini prijetnjom koju organizacije ne bi smjele ignorisati.
Problem pogađa verziju 178100 i sve ranije verzije ManageEngine Applications Managera. Zoho je ranjivost ispravio u verziji 178200 te u verzijama od 178001 do 178009. Korisnicima se preporučuje hitna nadogradnja na jednu od zakrpljenih verzija kako bi se otklonio sigurnosni rizik.
Sve organizacije koje se oslanjaju na ManageEngine za nadzor aplikacija trebale bi provjeriti koju verziju koriste i ažurirati sistem bez odgađanja, s obzirom na to da propust omogućava pristup osjetljivim operacijama unutar sistema.
