Zohocorp'un Manageengine Analytics Plus yazılımındaki güvenlik açığı, saldırganların ayrıcalıkları yükseltmesine olanak tanıyor. Bu, hassas verilere olası yetkisiz erişim yoluyla sağlanır.
Duyuru
Zoho'nun güvenlik tavsiyesinde yazarlar, Analytics Plus'taki bir güvenlik açığının hassas verileri açığa çıkardığını tartışıyor. Bu, kayıtlı kullanıcıların “org-admin” hesabına bağlı hassas belirteçlere erişmesine olanak tanır. Bu onların haklarını yanlışlıkla genişletmelerine olanak tanır (CVE-2024-52323, CVSS 8.1“Risk”yüksek“).
Güvenlik açığı yönetici hakları veriyor
Güvenlik notunun yazarları, “Bu güvenlik açığı, saldırganların kullanıcı ekleme veya kaldırma ve yapılandırmaları değiştirme gibi yönetimsel eylemler gerçekleştirmesine olanak tanıyor” diye açıklıyor.
Yazılım geliştiricileri, kullanılmayan ve savunmasız kodları uygulamadan kaldırarak sorunu çözer. Bu, güvenlik açığını ortadan kaldırır, geliştiriciler devam ediyor.
Manageengine Analytics Plus, yöneticiler için raporlar oluşturmak amacıyla ağdaki farklı uygulamalardan gelen verileri kabul edebilir ve değerlendirebilir. Güvenlik açığı, Manageengine Analytics Plus'ı 6100 yapı numarasıyla şu anda yayımlanan sürüme kadar etkiliyor. BT yöneticileri, ilgili indirme sayfasından “en son güncelleme paketini indirip uygulamalıdır”. Güncelleme talimatları da burada bağlantılıdır.
Bu ayın başlarında Zoho, Manageengine ADManager Plus'taki bir güvenlik açığını kapatmak zorunda kaldı. SQL enjeksiyon güvenlik açığı nedeniyle saldırganlar SQL komutlarını enjekte edebildi. Satıcı, güvenlik açığının kimliği doğrulanmış saldırganların kendi sorgularını yürütmesine ve veritabanı tablosu girişlerine yetkisiz erişim elde etmesine olanak tanıdığını açıkladı.
(Bilmiyorum)
Duyuru
Zoho'nun güvenlik tavsiyesinde yazarlar, Analytics Plus'taki bir güvenlik açığının hassas verileri açığa çıkardığını tartışıyor. Bu, kayıtlı kullanıcıların “org-admin” hesabına bağlı hassas belirteçlere erişmesine olanak tanır. Bu onların haklarını yanlışlıkla genişletmelerine olanak tanır (CVE-2024-52323, CVSS 8.1“Risk”yüksek“).
Güvenlik açığı yönetici hakları veriyor
Güvenlik notunun yazarları, “Bu güvenlik açığı, saldırganların kullanıcı ekleme veya kaldırma ve yapılandırmaları değiştirme gibi yönetimsel eylemler gerçekleştirmesine olanak tanıyor” diye açıklıyor.
Yazılım geliştiricileri, kullanılmayan ve savunmasız kodları uygulamadan kaldırarak sorunu çözer. Bu, güvenlik açığını ortadan kaldırır, geliştiriciler devam ediyor.
Manageengine Analytics Plus, yöneticiler için raporlar oluşturmak amacıyla ağdaki farklı uygulamalardan gelen verileri kabul edebilir ve değerlendirebilir. Güvenlik açığı, Manageengine Analytics Plus'ı 6100 yapı numarasıyla şu anda yayımlanan sürüme kadar etkiliyor. BT yöneticileri, ilgili indirme sayfasından “en son güncelleme paketini indirip uygulamalıdır”. Güncelleme talimatları da burada bağlantılıdır.
Bu ayın başlarında Zoho, Manageengine ADManager Plus'taki bir güvenlik açığını kapatmak zorunda kaldı. SQL enjeksiyon güvenlik açığı nedeniyle saldırganlar SQL komutlarını enjekte edebildi. Satıcı, güvenlik açığının kimliği doğrulanmış saldırganların kendi sorgularını yürütmesine ve veritabanı tablosu girişlerine yetkisiz erişim elde etmesine olanak tanıdığını açıkladı.
(Bilmiyorum)