CVE-2026-11374 gefährdet vier ManageEngine-Produkte Kritische ManageEngine-Lücke er­mög­licht Account-Übernahme per SSO

Von Thomas Joos 1 min Lesedauer

Anbieter zum Thema

Eine kritische Schwachstelle in vier ManageEngine-Produkten erlaubt nicht authentifizierten Angreifern die Übernahme fremder Konten. Ursache sind vorhersagbare SSO-Tickets in Verbindung mit ManageEngine AD360. Der Her­stel­ler stellt Updates bereit, eine Ausnutzung ist noch nicht bekannt.

Vorhersagbare SSO-Tickets in ManageEngine AD360 erlauben unauthentifizierten Angreifern die Übernahme fremder Konten. Service Packs schließen CVE-2026-11374 in allen vier betroffenen Produkten.(Bild: ©  CuteBee - stock.adobe.com)
Vorhersagbare SSO-Tickets in ManageEngine AD360 erlauben unauthentifizierten Angreifern die Übernahme fremder Konten. Service Packs schließen CVE-2026-11374 in allen vier betroffenen Produkten.
(Bild: © CuteBee - stock.adobe.com)

Eine Account-Takeover-Lücke in vier ManageEngine-Produkten wurde über das Zoho-Bug-Bounty-Programm gemeldet. Betroffen sind ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus und ADAudit Plus, wenn sie als integrierte Komponenten in ManageEngine AD360 ein­ge­bun­den sind. Der Hersteller stuft die Lücke CVE-2026-11374 als hoch ein, die CVSS-3.1-Basisbewertung liegt allerdings bei 9.0 (kritisch) mit dem Vektor CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H.

Vorhersagbare Tickets im Single Sign-on

Die Schwachstelle betrifft die Anmeldung per Single Sign-on. Meldet sich ein Nutzer über SSO an einem der vier in AD360 eingebundenen Produkte an, erzeugt das System ein SSO-Ticket zur Authentifizierung der Sitzung. Ein unauthentifizierter Angreifer kann ein gültiges Ticket vorhersagen und damit Identität und Rolleninformationen des Zielnutzers übernehmen. Am Ende steht die vollständige Übernahme des betroffenen Kontos. Der Angriff erfolgt über das Netzwerk, ohne Anmeldedaten und ohne Zutun des Opfers, verlangt jedoch hohen Aufwand bei der Vorhersage des Tickets, was den CVSS-Wert unter den Höchstwert drückt. Zugrunde liegt die Erzeugung vorhersagbarer Identifikatoren bei der Ticket-Generierung.

Vier integrierte Produkte betroffen

Die Korrektur verteilt sich über mehrere Service Packs mit unterschiedlichen Veröffentlichungsterminen.

  • ADSelfService Plus: betroffen bis Build 6528, behoben in 6529 vom 03.06.2026
  • RecoveryManager Plus: betroffen bis Build 6320, behoben in 6321 vom 05.06.2026
  • M365 Manager Plus: betroffen bis Build 4816, behoben in 4817 vom 10.06.2026
  • ADAudit Plus: betroffen bis Build 8702, behoben in 8703 vom 12.06.2026

Service Packs sichern die Installation

Der Hersteller behebt das Problem durch eine stärkere Erzeugung der SSO-Tickets, die sich nicht mehr vorhersagen lassen. Administratoren sollten das jeweils aktuelle Service Pack über die Produktseiten einspielen und Installationen mit AD360-Integration vorrangig behandeln. Gemeldet wurde die Lücke vom Sicherheitsforscher 0xmanhnv über das Zoho-BugBounty-Programm. Hinweise auf eine Ausnutzung im Feld liegen bislang nicht vor, eine Aufnahme in den KEV-Katalog der CISA ist nicht erfolgt.

(ID:50882291)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung