ManageEngine, Pam360 ürünü için günvenlik bilgilendirmesi yayınladı. Yapılan açıklama aşağıdaki gibi.
PAM360 Güvenlik Açığı Bilgilendirmesi
- Bir anahtarı Ortak Anahtar Birliği aracılığıyla ilişkilendirdikten sonra Anahtar Adı parametresinin neden olduğu depolanan XSS güvenlik açığı düzeltildi.
- Tehditin Windows makinesinde SSL aracısı aracılığıyla rastgele komut yürütmesine izin veren Uzaktan Kod Yürütme (RCE) güvenlik açığını düzeltildi.
- IdP sertifika dosyasını PAM360’taki Dosya Deposu veya Anahtar Deposundan içe aktarırken oluşan depolanmış bir XSS güvenlik açığı tespit edildi ve düzeltildi.
- Yönetici ayrıcalıklarına sahip bir API kullanıcısının aşağıdaki yetkisiz erişimleri gerçekleştirmesine izin veren bir sorun bulundu ve düzeltildi.
- Yetkili bir yöneticiye iletilen şifre erişim talebini reddetmek için Yetkili bir yönetici tarafından onaylanan şifre erişim talebini iade etmek için Düşük ayrıcalıklı bir kullanıcının etkin bir eski SSH oturumunun komut geçmişine erişmesine izin veren sorun düzeltildi.
- CVE-2023-4199 ve CVE-2023-4163 Güvenlik açıkları düzeltildi.
PAM360 ürününü kullanan müşterilerimizin, aşağıdaki linkte yer alan upgrade adımlarını uygulaması gerekiyor. 14 Haziran 2024 tarihi itibariyle Version 7000 sürümüyle duyurulan güvenlik açığı kapatıldı.
https://www.manageengine.com/privileged-access-management/upgradepack.html
Linkteki sayfanın alt kısmından güncelleme adımlarına ulaşabilirsiniz.