Zoho Corp. ManageEngine: Kritische SSO-Lücke ermöglicht Kontenübernahme

Mehrere Produkte von Zoho Corp. ManageEngine sind anfällig für eine Schwachstelle, die die Single-Sign-on-Integration (SSO) mitbringt. Angreifer könnten dadurch Konten übernehmen.

Das schreibt Zoho Corp. ManageEngine in einer Sicherheitsmitteilung. Sofern User sich mittels SSO in ManageEngine ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus oder ADAudit Plus einloggen und diese Produkte als integrierte Komponenten innerhalb ManageEngine AD360 eingebunden sind, kann das Problem auftreten. Die erstellten SSO-Tickets, mit denen die Sitzungen authentifiziert werden, können von Angreifern vorhergesagt werden, wodurch diese Konten übernehmen können (CVE-2026-11374, CVSS 9.0, Risiko „kritisch“).

Betroffen sind den Angaben zufolge ADSelfService Plus bis einschließlich Build 6528, RecoveryManager Plus bis inklusive 6320, M365 Manager Plus bis einschließlich 4816 und ADAudit Plus bis inklusive 8702. Die Versionen ADSelfService Plus 6529, RecoveryManager Plus 6321, M365 Manager Plus 4817 und ADAudit Plus 8703 sowie neuere Pakete schließen diese Sicherheitslücke.

Servicepacks installieren

Zohocorp stellt die Updates als Servicepack zum Herunterladen bereit. Die sind jeweils für die einzelnen betroffenen Produkte verfügbar:

Die Sicherheitslücke scheint noch nicht in freier Wildbahn angegriffen zu werden, darüber schreiben die Autoren der Mitteilung nichts. Die Schwachstelle hat ein IT-Forscher mit dem Handle 0xmanhnv über das Zoho-Bug-Bounty-Programm an den Hersteller gemeldet.

Zuletzt wurden im vergangenen November mehrere teils kritische Sicherheitslücken in unterschiedlichen Produkten von Zohocorp ManageEngine bekannt. Angreifer konnten etwa dadurch SQL-Befehle aufgrund einer SQL-Injection-Schwachstelle oder generell Befehle einschleusen.

(dmk)