Se han descubierto vulnerabilidades de severidad alta en productos ManageEngine. Un actor malicioso podría eludir los mecanismos de autenticación o realizar una inyección SQL para acceder a información confidencial o manipular datos en los sistemas afectados.
Productos afectados
- ManageEngine Password Manager Pro: versiones de la 8600 a la 13230.
- ManageEngine PAM360: versiones anteriores a la compilación 8531.
- ManageEngine Log360: versiones de la compilación 13000 a la 13013.
Impacto
Las vulnerabilidades se han identificado como:
CVE-2026-3324: con una puntuación de 8.2 en CVSS v3.1. Existe una vulnerabilidad de omisión de autenticación mediante el uso de un canal o ruta alternativa debido a una configuración de filtro inadecuada. Un actor malicioso remoto podría ejecutar acciones críticas sin autenticación previa, comprometiendo la confidencialidad de los registros del sistema.
CVE-2026-5785: con una puntuación de 8.1 en CVSS v3.1. Existe una vulnerabilidad de inyección SQL mediante la neutralización inadecuada de elementos especiales en el módulo de informes de consultas. Un actor malicioso remoto y autenticado podría realizar consultas arbitrarias a la base de datos para obtener o alterar información protegida.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias