Lỗ hổng trong ManageEngine Analytics Plus đề cập trên GBHackers liên quan đến một vấn đề bảo mật nghiêm trọng đã được giải quyết trong một bản phát hành gần đây. Dưới đây là những chi tiết chính:
- Loại lỗ hổng: Lỗ hổng này là một vấn đề Cross-Site Scripting (XSS).
- Tác động: Người dùng được ủy quyền, chẳng hạn như quản lý hoặc người xem, có thể xóa hoặc khôi phục không gian làm việc của người dùng khác, dẫn đến khả năng lộ dữ liệu nhạy cảm và tăng đặc quyền.
- Giải pháp: ManageEngine đã giải quyết vấn đề này bằng cách thực hiện kiểm tra ủy quyền mạnh mẽ, đảm bảo chỉ những người dùng được ủy quyền mới có thể thực hiện các hành động trên không gian làm việc của chính họ.
- Các cải tiến bổ sung: Bản phát hành cũng bao gồm một số cải tiến bảo mật khác, chẳng hạn như khả năng thiết lập các khoảng thời gian đồng bộ khác nhau cho mỗi mô-đun, áp dụng bộ lọc người dùng toàn cầu và cấu hình xác thực đa yếu tố để tăng cường bảo mật.
Lỗ hổng này đã được giải quyết trong bản phát hành mới nhất của Analytics Plus, tập trung vào việc nâng cao độ ổn định sản phẩm và giải quyết các lỗ hổng bảo mật nghiêm trọng. Mã CVE cụ thể cho lỗ hổng này không được đề cập trong các nguồn cung cấp, nhưng rõ ràng đây là một vấn đề bảo mật đáng kể đã được giải quyết.
