CVE-2026-11374
KrytyczneCVSS 9.0Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 65 — wyżej niż 65% wszystkich znanych CVE
Streszczenie
W ManageEngine ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus i ADAudit Plus, bilety SSO generowane do uwierzytelnienia sesji mogą być przewidywane przez nieautoryzowanego użytkownika, co prowadzi do przejęcia konta.
Ocena ryzyka
Przewidywalność biletów SSO stwarza ryzyko przejęcia konta, co może prowadzić do nieautoryzowanego dostępu do wrażliwych danych i zasobów organizacji.
Rekomendacja
Zaleca się aktualizację oprogramowania do najnowszej wersji oraz wdrożenie dodatkowych mechanizmów zabezpieczających, aby zminimalizować ryzyko przewidywania biletów SSO.
Oryginalny opis (angielski, źródło NVD)
In ManageEngine ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus, and ADAudit Plus, the SSO tickets generated to authenticate that session could be predicted by an unauthenticated user, leading to account takeover.

