Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a múltiples productos de ManageEngine, que permitiría a un atacante omitir el proceso de autenticación y obtener acceso no autorizado al producto afectado. 

La vulnerabilidad identificada como CVE-2022-36923, de severidad “alta”, con una puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla en la función getUserAPIKey que otorga de forma no autenticada claves de la API de usuario y acceso a APIs externas. Esto permitiría a un atacante omitir el proceso de autenticación y obtener acceso no autorizado al producto afectado. 

Algunos productos de ManageEngine son: 

• OpManager, versión 126113 a 126117. 
• OpManager Plus, versión 126100 a 126103. 
• Firewall Analyzer, versión 125664. 

Puede acceder a la lista completa de los productos afectados aquí. 

Recomendamos instalar las actualizaciones correspondientes provistas por ManageEngine en los siguientes enlaces: 

• https://www.manageengine.com/network-monitoring/itom-servicepack.html?cve_2022_36923 
• https://www.manageengine.com/network-monitoring/itom-servicepack.html?cve_2022_36923 
• https://www.manageengine.com/network-monitoring/service-packs.html?cve_2022_36923 

Referencias: 

• https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/omision-autenticacion-productos-manageengine 
• https://nvd.nist.gov/vuln/detail/CVE-2022-36923 
• https://www.manageengine.com/itom/advisory/cve-2022-36923.html 
• https://www.manageengine.com/network-monitoring/itom-servicepack.html?cve_2022_36923 
• https://www.manageengine.com/network-monitoring/itom-servicepack.html?cve_2022_36923 
• https://www.manageengine.com/network-monitoring/service-packs.html?cve_2022_36923