Kritische Sicherheitslücke in Zoho-ManageEngine-Produkten
- Sicherheitshinweis
Die CSBW warnt vor einer kritischen Schwachstelle in mehreren Zoho ManageEngine-Produkten. Das Unternehmen Zoho stellt abgesicherte Versionen zur Verfügung, die die Lücke beheben.
© CSBW
Updates fixen Lücke
Der Hersteller Zoho veröffentlichte eine Warnmeldung zur kritischen Sicherheitslücke CVE-2026-11374 (EUVD-2026-38423) in den folgenden integrierten Komponenten der ManageEngine-AD360-Serie:
- ADSelfService Plus 6528 und davor
- RecoveryManager Plus 6320 und davor
- M365 Manager Plus 4816 und davor
- ADAudit Plus 8702 und davor
CVE-2026-11374 hat einen CVSS-Score von 9.0/10 und ermöglicht Angreifenden, Single-Sign-On-Mechanismen zu manipulieren und zu umgehen sowie im Nachgang Nutzerkonten zu übernehmen.
Mit den nachfolgenden Komponenten-Versionen schließt Zoho die Lücke:
- ADSelfService Plus 6529
- RecoveryManager Plus 6321
- M365 Manager Plus 4817
- ADAudit Plus 8703
Empfehlung
Installieren Sie umgehend eine der oben genannten Versionen der betroffenen ManageEngine-Komponenten.