ManageEngine ha divulgado una vulnerabilidad de severidad alta, identificada como CVE-2026-11374, en varias soluciones de gestión de identidad y acceso (IAM) cuando se integran con AD360. La falla permite a atacantes sin autenticación predecir tokens de Single Sign-On (SSO), facilitando el robo de credenciales y el acceso no autorizado a sistemas críticos. Los productos afectados incluyen ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus y ADAudit Plus, ampliamente utilizados en entornos empresariales para gestión de Active Directory, auditorías y administración de Microsoft 365.
CVE y severidad
- CVE: CVE-2026-11374
- Severidad: Alta (según el informe inicial)
- Vector de explotación: Remoto, sin autenticación requerida
- Impacto: Toma de cuentas, exposición de información de identidad y roles, y posible escalada de privilegios
Productos afectados
| Producto | Versiones afectadas |
|---|---|
| ADSelfService Plus | 6528 y versiones anteriores |
| RecoveryManager Plus | 6320 y versiones anteriores |
| M365 Manager Plus | 4816 y versiones anteriores |
| ADAudit Plus | 8702 y versiones anteriores |
Solución
Aplicar los service packs publicados por ManageEngine entre el 3 y 12 de junio de 2026 para todos los productos afectados:
- ADSelfService Plus: actualizar a la versión 6529 o superior
- RecoveryManager Plus: actualizar a la versión 6321 o superior
- M365 Manager Plus: actualizar a la versión 4817 o superior
- ADAudit Plus: actualizar a la versión 8703 o superior
Recomendaciones
Verificar de inmediato las versiones instaladas de todos los productos ManageEngine integrados con AD360 y aplicar los parches disponibles. Revisar los logs de autenticación SSO en busca de sesiones anómalas, especialmente accesos desde IPs inusuales, fuera de horario laboral o con patrones de login repetitivos que sugieran enumeración de tokens. En entornos que utilicen Endpoint Central Cloud con autenticación vía accounts.zoho.com, considerar esta instancia como potencialmente expuesta hasta confirmar que los productos de integración AD360 estén parcheados.