In der Management-Software ManageEngine ADAudit Plus von Zohocorp stecken zwei Sicherheitslücken, die die Entwickler als hochriskant einstufen. Aktualisierungen stehen bereit. IT-Verantwortliche sollten prüfen, ob ihre Instanzen auf aktuellem Stand sind.
Bei beiden Schwachstellen handelt es sich um SQL-Injection-Lücken. "Eine SQL-Injection-Schwachstelle betrifft die API, die für das Abholen von Daten bezüglich des ADAudit Plus OU-Verlauf-Berichts verantwortlich zeichnet, wurde korrigiert", schreibt Zoho in der ersten Sicherheitswarnung (CVE-2025-41407 / keine EUVD, CVSS 8.3, Risiko "hoch"). Die potenziellen Auswirkungen beschreibt Zoho als: "Diese Schwachstelle könnte authentifizierten Gegnern ermöglichen, eigene Abfragen auszuführen und auf Datenbank-Tabelleneinträge mit der verwundbaren Anfrage zuzugreifen."
Dieselbe Schwachstellenbeschreibung liefert Zoho für die zweite Sicherheitslücke – sie betrifft eine weitere API: "Eine SQL-Injection-Schwachstelle betrifft eine API, die verwantwortlich dafür ist, ADAudit-Plus-Berichte zu exportieren" (CVE-2025-36527 / keine EUVD, CVSS 8.3, Risiko "hoch"). Die Auswirkungen sind zur ersten Lücke identisch.
Für derartige Angriffe anfällig isst ManageEngine ADAudit Plus vor Build 8511. Diese und neuere Versionen stopfen die beiden Sicherheitslecks. Sie stehen auf der Service-Pack-Webseite von Zohocorp zum Herunterladen bereit. Die Korrektur erfolgte bereits am 9. Mai, zum Wochenende wurden jedoch die Schwachstellenmeldungen öffentlich.
Zuletzt hatte Zohocorp in der webbasierten Identitätsverwaltungssoftware ADSelfService Plus eine Sicherheitslücke stopfen müssen. Angreifer hätten sonst Konten durch die als hohes Risiko eingestufte Schwachstelle übernehmen können. Als Ursache dafür nannten die Entwickler des Unternehmens ein fehlerhaftes Session-Handling.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare