A ManageEngine divulgou uma vulnerabilidade de alta severidade, rastreada como CVE-2026-11374, afetando várias de suas soluções de gerenciamento de identidade e acesso quando integradas ao AD360. A falha poderia permitir que atacantes não autenticados prevejam tokens de single sign-on (SSO), potencialmente levando ao comprometimento de contas e exposição de informações sensíveis de usuários.
O que mudou agora
A questão afeta o ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus e ADAudit Plus quando implantados no ambiente ManageEngine AD360. Essas ferramentas são comumente usadas em redes empresariais para governança de identidade, gerenciamento de Active Directory, auditoria e administração do Microsoft 365, tornando a vulnerabilidade particularmente significativa em implantações de grande escala.
A vulnerabilidade foi relatada pelo pesquisador de segurança 0xmanhnv através do programa Zoho BugBounty, e a ManageEngine creditou o pesquisador pela divulgação responsável. De acordo com o advisory, a vulnerabilidade decorre de fraquezas na geração de tickets SSO durante a autenticação.
Vetor e exploração
Quando um usuário faz login via SSO do AD360, o sistema emite um token para validar a sessão. No entanto, os pesquisadores descobriram que um atacante não autenticado poderia prever esses tokens. Essa previsibilidade abre a porta para que atacantes criem tokens de sessão válidos sem precisar de credenciais legítimas.
A exploração dessa falha poderia permitir que atacantes se passassem por usuários e ganhassem acesso não autorizado a sistemas. Em tais cenários, os atacantes podem recuperar detalhes de identidade do usuário e informações de acesso baseadas em função, o que, por sua vez, poderia permitir a elevação de privilégios dependendo da conta comprometida.
Impacto e alcance
Em ambientes onde o AD360 atua como um hub central de identidade, esse risco se torna mais grave, pois vários serviços integrados podem ser expostos através de um único ataque bem-sucedido. Um atacante poderia gerar um token SSO válido para obter acesso não autorizado aos logs de auditoria do ADAudit Plus e dados administrativos, permitindo reconhecimento interno e possível movimento lateral dentro da organização.
A vulnerabilidade afeta o ADSelfService Plus versão 6528 e anteriores, RecoveryManager Plus versão 6320 e anteriores, M365 Manager Plus versão 4816 e anteriores, e ADAudit Plus versão 8702 e anteriores.
Medidas de mitigação recomendadas
A ManageEngine lançou patches para abordar o issue em versões subsequentes lançadas entre 3 e 12 de junho de 2026. Para mitigar o risco, a ManageEngine fortaleceu o mecanismo de geração de tickets SSO para garantir que os tokens não sejam mais previsíveis.
Organizações usando produtos afetados são fortemente aconselhadas a aplicar os service packs mais imediatamente para proteger seus ambientes. Além de corrigir, as equipes de segurança devem monitorar de perto os logs de autenticação para atividade SSO incomum e revisar as permissões de acesso em contas críticas.
Perguntas frequentes
Como saber se meu sistema está afetado?
Verifique a versão dos produtos ManageEngine que você utiliza. Se estiverem nas versões listadas no advisory, aplique o patch imediatamente.
Qual o impacto de um ataque bem-sucedido?
Um ataque bem-sucedido pode levar ao comprometimento de contas de usuário, acesso não autorizado a dados sensíveis e potencial movimento lateral dentro da rede corporativa.