Se ha descubierto una vulnerabilidad de severidad alta en ManageEngine ADManager Plus. Un actor malicioso con privilegios bajos podría ejecutar comandos del sistema en el servidor y provocar ejecución remota de código.
Productos afectados
- ManageEngine ADManager Plus: versiones anteriores al Build 8024
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-10020: con una puntuación de 8.5 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos autenticada en el componente Custom Script de ADManager Plus. Un actor malicioso con credenciales de bajo privilegio podría ejecutar comandos arbitrarios en el sistema operativo del servidor, comprometiendo completamente la confidencialidad, integridad y disponibilidad del sistema afectado.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-10020
- https://www.manageengine.com/products/ad-manager/admanager-kb/cve-2025-10020.html