// HEISE ONLINE — CYBERSECURITY
Zoho Corp. ManageEngine: Kritische SSO-Lücke ermöglicht Kontenübernahme
Angreifer können eine kritische Sicherheitslücke in mehreren Zoho Corp. ManageEngine-Produkten missbrauchen, um Konten zu übernehmen.
Mehrere Produkte von Zoho Corp. ManageEngine sind anfällig für eine Schwachstelle, die die Single-Sign-on-Integration (SSO) mitbringt. Angreifer könnten dadurch Konten übernehmen.
Das schreibt Zoho Corp. ManageEngine in einer Sicherheitsmitteilung. Sofern User sich mittels SSO in ManageEngine ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus oder ADAudit Plus einloggen und diese Produkte als integrierte Komponenten innerhalb ManageEngine AD360 eingebunden sind, kann das Problem auftreten. Die erstellten SSO-Tickets, mit denen die Sitzungen authentifiziert werden, können von Angreifern vorhergesagt werden, wodurch diese Konten übernehmen können (CVE-2026-11374, CVSS 9.0, Risiko „kritisch“).
Betroffen sind den Angaben zufolge ADSelfService Plus bis einschließlich Build 6528, RecoveryManager Plus bis inklusive 6320, M365 Manager Plus bis einschließlich 4816 und ADAudit Plus bis inklusive 8702. Die Versionen ADSelfService Plus 6529, RecoveryManager Plus 6321, M365 Manager Plus 4817 und ADAudit Plus 8703 sowie neuere Pakete schließen diese Sicherheitslücke.
Zohocorp stellt die Updates als Servicepack zum Herunterladen bereit. Die sind jeweils für die einzelnen betroffenen Produkte verfügbar:
Die Sicherheitslücke scheint noch nicht in freier Wildbahn angegriffen zu werden, darüber schreiben die Autoren der Mitteilung nichts. Die Schwachstelle hat ein IT-Forscher mit dem Handle 0xmanhnv über das Zoho-Bug-Bounty-Programm an den Hersteller gemeldet.
Zuletzt wurden im vergangenen November mehrere teils kritische Sicherheitslücken in unterschiedlichen Produkten von Zohocorp ManageEngine bekannt. Angreifer konnten etwa dadurch SQL-Befehle aufgrund einer SQL-Injection-Schwachstelle oder generell Befehle einschleusen.
Ob Sicherheitslücken, Viren oder Trojaner – alle sicherheitsrelevanten Meldungen gibts bei heise security
Ausführliche Informationen zum Versandverfahren und zu Ihren
Widerrufsmöglichkeiten erhalten Sie in unserer
Datenschutzerklärung.
Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.