Katalog CVE

CVE-2026-11374

KrytyczneCVSS 9.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
1.24%

Percentyl 65 — wyżej niż 65% wszystkich znanych CVE

Streszczenie

W ManageEngine ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus i ADAudit Plus, bilety SSO generowane do uwierzytelnienia sesji mogą być przewidywane przez nieautoryzowanego użytkownika, co prowadzi do przejęcia konta.

Ocena ryzyka

Przewidywalność biletów SSO stwarza ryzyko przejęcia konta, co może prowadzić do nieautoryzowanego dostępu do wrażliwych danych i zasobów organizacji.

Rekomendacja

Zaleca się aktualizację oprogramowania do najnowszej wersji oraz wdrożenie dodatkowych mechanizmów zabezpieczających, aby zminimalizować ryzyko przewidywania biletów SSO.

Oryginalny opis (angielski, źródło NVD)

In ManageEngine ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus, and ADAudit Plus, the SSO tickets generated to authenticate that session could be predicted by an unauthenticated user, leading to account takeover.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS