PG Software - Votre distributeur IT

Editeur : ManageEngine
Produit : Password Manager Pro
Date de la release : 14/04/22

  Corrections de sécurité :

  • Une vulnérabilité de contournement d'authentification (CVE-2022-29081) affectant les versions de ManageEngine Password Manager Pro de 10103 à 12006, a été corrigée. Elle était due à une vérification incorrecte de l'URI qui permettait à un adversaire de contourner les contrôles de sécurité dans sept URL RESTAPI, d'obtenir un accès non autorisé à l'application et d'invoquer les opérations suivantes :
    • Redémarrez le service. (Restart the service.)
    • Appliquer les certificats du serveur. (Apply server certificates.)
    • Accéder aux détails du tableau de bord. (Access the dashboard details.)
    • Obtenir les détails de la licence existante. (Get existing license details.)
    • Appliquer une nouvelle licence au produit. (Apply new license to the product.)
    • Récupérer les journaux d'événements. (Fetch event logs.)
    • Configurer les calendriers de synchronisation. (Set up synchronization schedules.)
    • Créer de nouveaux certificats. (Create new certificates.)
    • Créer et télécharger des CSR. (Create and download CSR.)

  Améliorations :

  • À partir de cette version, nous avons amélioré nos contrôles de sécurité contre les vulnérabilités Path Traversal, Local File Inclusion, Stored XSS, Reflected XSS et DOM XSS.
  • À partir de cette version, trois nouveaux rapports par défaut, basés sur des requêtes, ont été ajoutés dans la catégorie "Ressources" - Ressources avec comptes, Ressources avec types, et Ressources avec mots de passe non groupés.

 Corrections :

  • À partir de la version 12005, les machines serveur de Password Manager Pro ont connu des problèmes de performance en raison d'un volume élevé de demandes d'agents PMP dans les environnements où les agents PMP étaient déployés sur les points finaux. Ce problème est maintenant résolu.
  • À partir de la version 12005, la recherche globale par mot-clé renvoyait toutes les ressources au lieu des résultats de recherche filtrés basés sur le mot-clé de recherche spécifique saisi. Ce problème a été corrigé. (build 12006)
  • À partir de la version 12000, les utilisateurs ne pouvaient pas lancer de sessions RDP à l'aide de comptes de domaine Windows si le champ "Reason" de l'assistant "Auto logon using other domain accounts" contenait des caractères spéciaux, tels que #. (build 12006)

Password Manager Pro