一、漏洞详情

ManageEngine是卓豪（ZOHO Corporation）旗下的IT管理解决方案，可以借助ManageEngine工具管理网络基础设施、数据中心、业务系统、IT服务及安全等。

Zoho修复了ManageEngine多个产品中的一个远程代码执行漏洞（CVE-2022-35405），目前该漏洞的PoC/EXP及相关Metasploit 利用模块已经发布。由于Zoho ManageEngine多个产品中存在Java 反序列化漏洞，可在未经身份验证（Password Manager Pro和PAM360）的情况下向/xmlrpc发送包含恶意序列化数据的XML-RPC请求，实现以SYSTEM用户身份远程执行命令。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Access Manager Plus版本 <= 4302

Password Manager Pro版本 <= 12100

PAM360 版本 <= 5500

三、修复建议

目前此漏洞已经修复，受影响用户可升级到以下版本：

Access Manager Plus版本4303

Password Manager Pro版本12101

PAM360 版本5510

下载链接：https://www.manageengine.com/products/passwordmanagerpro/advisory/download.html