-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in Zohocorp's ManageEngine Advisory ID : NCSC-2025-0327 Versie : 1.00 Kans : medium CVE ID : CVE-2025-7473, CVE-2025-9428, CVE-2025-10020 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Improper Neutralization of Special Elements used in a Command ('Command Injection') Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') XML Injection (aka Blind XPath Injection) Uitgiftedatum : 20251023 Toepassing : Zoho Analytics Plus Zoho Endpoint Central Zohocorp ManageEngine ADManager Plus Versie(s) : Platform(s) : Beschrijving Zohocorp heeft kwetsbaarheden verholpen in ManageEngine (Specifiek voor ADManager Plus, EndPoint Central en Analytics Plus). De kwetsbaarheden omvatten een geauthenticeerde command injection in ADManager Plus, XML-injecties in EndPoint Central, en een geauthenticeerde SQL-injectie in Analytics Plus. Deze kwetsbaarheden stellen aanvallers in staat om ongeautoriseerde commando's uit te voeren, toegang te krijgen tot gevoelige gegevens of de database te manipuleren. Dit kan leiden tot ernstige compromittering van systeemintegriteit en vertrouwelijkheid. Mogelijke oplossingen Zohocorp heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Zie bijgevoegde referenties voor meer informatie. Referenties: Reference https://www.manageengine.com/analytics-plus/CVE-2025-9428.html Reference https://www.manageengine.com/products/ad-manager/admanager- kb/cve-2025-10020.html Reference https://www.manageengine.com/products/desktop-central/parsing-xml- data.html Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEj9lz1UkzuNhtLOX5ytTOqyR+cF8FAmj51wEACgkQytTOqyR+ cF+kFAv+MQwRva1kA1y4xdb7FraHnzWrji2OB2gSC2EUxEdVb41sp67KMoyfNHcl 93642kRHgcQnGWWoaRYj9dZE9iPwAZ6liZyk7TTEDK618iJQ6/f2g7hACuxHHfAm q+1nyDZCYjtSwxP2CmZUlEzrk8gRbm3O5Rm5MwNINgHm0eh/3Qyn5HkUmgvQ1V1K RqFP1Wt02J4JQY2F5QXCgMKwSz53k98HOBGCD/1QafXOFUx9nJEMJDLRXNKjWUaF Ug94Z+2cskMfi93Va8Hz6sJ8Q6M7R+sRtRJwLUekYBxDXLWebYPHMYlSKjQ4mkne eE1v5YuEG5vkzhy/Y/nEZsmm2UdEGbhDvVcem5xvHHF0mo42CyCAHyAMHqRVie/f rJFeLWRpUBb9Oyn0zK7Fg6VX5GG4/Fpyuknq/gonjncsQ58l2qAYx4Zzmuj6ZoMF YZ6ec0PFvCzurKNo2vFQ32pnzJpjx7qGgJh6SFgdx3sMia3sjw+HcTzpaCLIQbbY Qqhwy9CQ =mMTF -----END PGP SIGNATURE-----