Password Manager Pro - Un software de gestión de contraseñas empresariales utilizado por
| SI.No | Descripción de la vulnerabilidad | Fecha de reporte | Lanzamiento de parche (versión) y divulgación pública | ID de CVE asociados |
|---|---|---|---|---|
| 1. | Una vulnerabilidad de inyección SQL (CVE-2022-47523) en el marco interno que otorgaría acceso a todos los usuarios de Password Manager Pro a la base de datos backend. | Noviembre 25, 2022 | Diciembre 30,2022 (v12210) | CVE-2022-47523 |
| 2. | Una vulnerabilidad de ejecución remota de código (CVE-2022-47966) que se ha producido debido al uso de un tercero obsoleto. | Octubre 25, 2022 | Noviembre 7,2022 (v12124) | CVE-2022-47966 |
| 3. | Las vulnerabilidades de inyección SQL (CVE-2022-43672, CVE-2022-43671) que se habían producido debido a una entrada y validación de usuario incorrectas se identificaron en la página de configuración de auditoría de recursos y en las notificaciones de contraseña para grupos de usuarios. | Octubre 2,2022 | Octubre 21,2022 (v12122) | CVE-2022-43671, CVE-2022-43672 |
| 4. | Se identificaron varias vulnerabilidades de inyección SQL (CVE-2022-40300) que habían surgido debido a una validación incorrecta de la entrada de usuario en las operaciones de exportación de búsqueda y grupo de recursos. | Agosto 26,2022 | Septiembre 10,2022 (v12121) | CVE-2022-40300 |
| 5. | Una vulnerabilidad de omisión de autenticación (CVE-2022-35404) que permitía a un adversario crear directorios arbitrarios y archivos pequeños en el servidor de Password Manager Pro. | Mayo 21,2022 | Junio 24,2022 (v12101) | CVE-2022-35404 |
| 6. | Una vulnerabilidad de ejecución remota de código (CVE-2022-35405) que permitía a un adversario aprovechar el host a través de XML-RPC. | Junio 21,2022 | Junio 24,2022 (v12101) | CVE-2022-35405 |
| 7. | Una vulnerabilidad de omisión de autenticación, que se produjo en ManageEngine Password Manager Pro en las compilaciones de 10103 a 12006 debido a una comprobación de URI incorrecta, permitía a un adversario omitir las comprobaciones de seguridad en siete URL de RESTAPI, obtener acceso no autorizado a la aplicación e invocar ciertas operaciones. | Abril 11, 2022 | Abril 14, 2022 (v12007) | CVE-2022-29081 |
| 8. | Una vulnerabilidad de omisión de autenticación, que afectaba a las versiones de ManageEngine Password Manager Pro hasta 12001, permitía a un adversario obtener acceso no autorizado a la aplicación e invocar acciones a través de URL de aplicación específicas. | Diciembre 2, 2021 | Diciembre 4, 2021 (v12002) | CVE-2021-44525 |
| 9. | Los usuarios con acceso al servidor de Password Manager Pro, que se ejecutaba en un equipo con algunas políticas configuradas, podían ver las contraseñas de IIS web.config como texto sin cifrar en el log de eventos. | Mayo 16, 2021 | Julio 7, 2021 (v11200) | ZVE-2021-1797 |
| 10. | Vulnerabilidad de enumeración de usuarios. | Abril 14, 2021 | Julio 7, 2021 (v11200) | CVE-2021-33617 |
| 11. | Una vulnerabilidad de la versión 9.7.0 que permitía recuperar las contraseñas enmascaradas de tipo de recurso no web como texto no cifrado. | Enero 14, 2021 | Mayo 4, 2021 (v11104) | CVE-2021-31857 (Reported by: Sandeep Saxena) |
| 12. | Una vulnerabilidad de seguridad que permitía a personal no autorizado extraer la dirección de correo electrónico del superadministrador. | Marzo 12, 2021 | Abril 1, 2021 (v11103) | ZVE-2021-0870 |
| 13. | Un problema de scripting entre sitios (XSS) que se produjo en la página de conexión de la aplicación web. | Marzo 05, 2021 | Marzo 12, 2021 (v11102) | ZVE-2021-0768 |
| 14. | Debido a una protección CSRF inadecuada para la URL, existía el riesgo de que los atacantes cambiaran los roles de usuario en Password Manager Pro. | Enero 11, 2020 | Marzo 2, 2020 (v10403) | CVE-2020-9346 (Informado por: Luka Sikic de INFIGO)) |
| 15. | SparkGateway, que viene incluido con Password Manager Pro para habilitar conexiones RDP a los sistemas de destino, se ha actualizado de v5.0 a v5.6 para admitir el protocolo CredSSP v6. Esta última versión publicada por Microsoft contiene actualizaciones de seguridad para corregir una vulnerabilidad de ejecución remota de código que existía en el protocolo. | Abril 27, 2018 | Mayo 8, 2018 (v9601) | CVE-2018-0886 |
| 16. | Vulnerabilidad de falsificación de solicitudes entre sitios. Los usuarios de Password Manager Pro podrían aprovechar esta vulnerabilidad sin dejar de estar autenticados, siempre que el usuario tuviera conocimiento sobre el patrón de construcción de la URL de PMP y varios parámetros para crear solicitudes falsificadas. Esto solo se puede aprovechar falsificando la URL y no a través de entradas en la GUI. | Junio 2015 | Junio 2016 (v8500) | JVNVU#95113461 CVE-2016-1161 (Informado por: CSIRT, Excellium Services |
| 17. | Al ver las contraseñas antiguas del historial de contraseñas, era posible que un usuario de contraseñas recuperara el historial de contraseñas de las contraseñas no compartidas manipulando la URL de solicitud. | Febrero 23, 2016 | Abril 2016 (v8403) | CVE-2016-1159 (Informado por: CSIRT, Excellium Services) |
| 18. | Se ha solucionado una vulnerabilidad de inyección SQL identificada en el módulo de búsqueda avanzada de PMP. | Junio 2015 | Julio 2015 (v8101) | CVE-2015-5459 |
| 19. | Se ha corregido una inyección de entidad externa XML identificada en la API de XMLRPC | Mayo 2014 | Mayo 2015 (v8000) | - |
| 20. | Se ha corregido una inyección SQL identificada en la aplicación web de PMP. | Octubre 27, 2014 | Noviembre 2014 (v7105) | CVE-2014-8499 |
| 21. | Se ha solucionado una vulnerabilidad de clickjacking identificada en la aplicación web de PMP. | Octubre 27, 2014 | Noviembre 2014 (v7105) | - |
| 22. | Se ha solucionado una vulnerabilidad de denegación de servicio de nombre de archivo identificada en PMP. | Febrero de 2014 | Septiembre 2014 (v7103) | CVE-2014-9372 |
| 23. | Se ha corregido un problema de puerta trasera a través del cual se podía implementar la inyección SQL en PMP. | Junio 2014 | Junio 2014 (v7003) | CVE-2014-3997, CVE-2014-3996 |
| 24. | La posibilidad de una vulnerabilidad XSS (que se puede desencadenar durante la autenticación), se identificó en PMP v7001. Esto se ha solucionado. | Marzo 20, 2014 | Abril 2014 (v7002) | - |
| 25. | Se identificó que PMP v7001 tenía una vulnerabilidad de recorrido de directorios. Esto se ha solucionado actualizando el gateway de RDP. | Marzo 20, 2014 | Abril 2014 (v7002) | - |