Zoho: sanata vulnerabilità in ManageEngine ADManager Plus (AL06/251022/CSIRT-ITA)

Data:
22 Ottobre 2025

Impatto Sistemico

Alto (66.53)

Sintesi

Sanata una vulnerabilità con gravità “critica” in ManageEngine ADManager Plus, strumento per la gestione e il reporting di Active Directory (AD), sviluppato da Zoho Corporation. Tale vulnerabilità interessa la componente Custom Script, dove un’errata gestione dei parametri potrebbe consentire a un utente con privilegi minimi l’esecuzione di comandi di sistema arbitrari sul server.

Tipologia

Arbitrary Code Execution

Prodotti e versioni affette

ManageEngine ADManager Plus, tutte le versioni precedenti alla 8024

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.

Riferimenti

https://www.manageengine.com/products/ad-manager/admanager-kb/cve-2025-10020.html

CVE

CVE-ID
CVE-2025-10020

Change log

Versione	Note	Data
1.0	Pubblicato il 22-10-2025	22/10/2025

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link

Ultimo aggiornamento

22 Ottobre 2025, 12:24

CSIRT Toscana

CSIRT Toscana