close notice<\/p>\n
\n This article is also available in It was translated with technical assistance and editorially reviewed before publication.\n <\/p>\n \n Don\u2019t show this again.\n<\/p>\n In mehreren Produkten von Zohocorp ManageEngine sind teils kritische Schwachstellen entdeckt worden. Jetzt hat das Unternehmen Schwachstelleneintr\u00e4ge dazu ver\u00f6ffentlicht. Softwareupdates zum Schlie\u00dfen der Sicherheitsl\u00fccken stehen bereit.<\/p>\n Weiterlesen nach der Anzeige<\/p>\n In Zohocorp ManageEngine Analytics Plus k\u00f6nnen Angreifer ohne vorherige Authentifizierung eine SQL-Injection-Schwachstelle missbrauchen, die auf eine unzureichende Filterkonfiguration zur\u00fcckgeht. Damit k\u00f6nnten Angreifer etwa Konten \u00fcbernehmen, schreibt der Hersteller<\/a>. Betroffen sind Version 6170 und \u00e4ltere (CVE-2025-8324<\/a>, CVSS 9.8<\/strong>, Risiko „kritisch<\/strong>„). Analytics Plus on-premise Build 6171 aus dem August korrigiert den Fehler.<\/p>\n Im Application Manager bis einschlie\u00dflich Version 178100 f\u00fchrt eine unzureichende Konfiguration in der „Programm ausf\u00fchren“-Funktion dazu, dass Angreifer \u2013 allerdings nach vorheriger Anmeldung \u2013 Befehle einschleusen k\u00f6nnen (CVE-2025-9223<\/a>, CVSS 8.8<\/strong>, Risiko „hoch<\/strong>„). Die Schwachstellenbeschreibung beim Hersteller <\/a>verdeutlicht, dass eine Blacklist verbotener Befehle umgangen werden kann. In den Versionen 178001 bis 178009 sowie 178200 haben die Entwickler das korrigiert.<\/p>\n Weitere verwundbare Produkte<\/p>\n In Exchange Reporter Plus bis einschlie\u00dflich Version 5723 klaffen gleich vier Sicherheitsl\u00fccken vom Typ Stored-Cross-Site-Scripting. Laut Einsch\u00e4tzung der Entwickler k\u00f6nnen Angreifer etwa Konten mit erh\u00f6hten Rechten erstellen und darauf unbefugten Zugriff erlangen (CVE-2025-7429<\/a>, CVE-2025-7430<\/a>, CVE-2025-7432<\/a>, CVE-2025-7433<\/a>; alle CVSS 7.3<\/strong>, Risiko „hoch<\/strong>„). Fehlerkorrigierte Software steht bereits mit Build 5724 und neueren seit Ende Juli <\/a>dieses Jahres zur Verf\u00fcgung.<\/p>\n Eine weitere Sicherheitsl\u00fccke findet sich in OpManager bis inklusive Version 128609 und weiteren Fassungen. In der SNMP-Trap-Verarbeitung k\u00f6nnen Angreifer eine Stored-Cross-Site-Scripting-L\u00fccke missbrauchen (CVE-2025-9227<\/a>, CVSS 6.5<\/strong>, Risiko „mittel<\/strong>„). Seit Ende August k\u00f6nnen Admins die Sicherheitsl\u00fccke mit der Aktualisierung auf OpManager, OpManager Enterprise Edition, OpManager Plus, OpManager Plus Enterprise Edition und OpManager MSP 128610, 128598, 128543 sowie 128466 schlie\u00dfen. Angreifer k\u00f6nnten die L\u00fccke ausnutzen, um den CSRF- und Session-Token vom Admin zu \u00fcbernehmen und damit etwa eine Reverse Shell einrichten und beliebigen Code auf dem Server ausf\u00fchren, erkl\u00e4rt der Hersteller<\/a>.<\/p>\n Ende Mai hatte das Unternehmen hochriskante Sicherheitsl\u00fccken in ManageEngine ADAudit Plus<\/a> geschlossen.<\/p>\n Weiterlesen nach der Anzeige<\/p>\n
\n English<\/a>.<\/p>\n