CVE-2026-11374: ManageEngine - Previsão de Tickets
A vulnerabilidade permite que um usuário não autenticado preveja os tickets de SSO gerados para autenticar sessões, levando a uma possível tomada de conta. Isso ocorre devido à previsibilidade dos tickets de SSO em produtos da ManageEngine, como ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus e ADAudit Plus. O impacto real é a possibilidade de um atacante tomar controle de contas sem necessidade de autenticação.
CVE: CVE-2026-11374
Severidade: CRITICAL
Resumo:
A vulnerabilidade permite que um usuário não autenticado preveja os tickets de SSO gerados para autenticar sessões, levando a uma possível tomada de conta. Isso ocorre devido à previsibilidade dos tickets de SSO em produtos da ManageEngine, como ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus e ADAudit Plus. O impacto real é a possibilidade de um atacante tomar controle de contas sem necessidade de autenticação.
CVSS: 9.0