Vulnerabilidad en ManageEngine AD360 y sus Componentes

Vulnerabilidad en ManageEngine AD360 y sus Componentes

Queremos mantenerlos al tanto de una actualización importante que hemos implementado en ManageEngine AD360 y sus compañeros de ruta: ADManager Plus, M365 Manager Plus y Exchange Reporter Plus. Esta actualización se realizó para abordar un problema crítico de seguridad que podría haber tenido consecuencias graves.

Descripción de la Vulnerabilidad

Identificamos una vulnerabilidad de seguridad (CVE-2024-21733) que podría haber llevado a la toma de cuentas, poniendo en riesgo la seguridad de los usuarios. La solución para este problema implicó la actualización del servidor Apache Tomcat, una pieza clave en estos productos, a una versión superior.

Versiones Afectadas y Actualizadas

Vamos a los detalles de las versiones que se vieron afectadas y las actualizaciones correspondientes:

  • AD360

    • Versión Afectada: Build 4400 y anteriores
    • Versión Corregida: 4401
    • Fecha de Corrección: 23 de enero de 2024
  • ADManager Plus

    • Versión Afectada: Build 7222 y anteriores
    • Versión Corregida: 7223
    • Fecha de Corrección: 22 de enero de 2024
  • M365 Manager Plus

    • Versión Afectada: Build 4605 y anteriores
    • Versión Corregida: 4606
    • Fecha de Corrección: 24 de enero de 2024
  • Exchange Reporter Plus

    • Versión Afectada: Build 5714 y anteriores
    • Versión Corregida: 5715
    • Fecha de Corrección: 24 de enero de 2024

Identificando tu Versión Actual del Producto

Para asegurarte de tu protección, te recomendamos verificar la versión actual de tu producto. Sigue estos pasos:

  1. Inicia sesión en el producto como administrador.
  2. Haz clic en el enlace de Licencia en la esquina superior derecha de la pantalla.
  3. La versión del producto estará disponible en la ventana emergente que aparece.

Si estás usando una versión afectada, te instamos a que realices la actualización a la versión más reciente de inmediato.

Gravedad de la Vulnerabilidad: Crítica

La vulnerabilidad corregida tenía el potencial de permitir solicitudes POST incompletas, desencadenando una respuesta de error que podría contener datos de solicitudes previas de otros usuarios. Esto, en última instancia, podría dar lugar a la toma de cuentas de la víctima.

Acciones Recomendadas

Dada la gravedad de esta vulnerabilidad, te recomendamos encarecidamente que actualices AD360, ADManager Plus, M365 Manager Plus y Exchange Reporter Plus a la última versión disponible de inmediato.

Puedes descargar los últimos paquetes de servicio desde los enlaces proporcionados para cada producto y proceder a la actualización.

Soporte y Contacto

Para cualquier pregunta o asistencia en el proceso de actualización, no dudes en ponerte en contacto con nuestro equipo de soporte.


Si estás interesado en conocer más acerca de nuestra oferta de valor y cómo podemos ayudarte a resolver los retos de gestión de servicios de TI en tu organización, te invitamos a conocer todo un nuevo mundo de posibilidades.

En iDric estamos comprometidos con ofrecerte soluciones integrales, de calidad y respaldadas por fabricantes reconocidos en la industria. ¡Contáctanos y descubre lo que podemos hacer por ti!

Eric Ocampo

Autor: Eric Ocampo

Project Manager en Ingeniería Dric con más de 6 años de experiencia en la gestión de proyectos. A lo largo de su carrera ha impartido capacitaciones, conferencias, demostraciones e implementaciones a lo largo de México y LATAM. Diplomado en la dirección de proyectos impartido por PMI, así como certificaciones ITIL 4, ISO 20000-1, Windows Server Installing and configuring, entre otras. Cuenta con un amplio conocimiento en las solucionas ITOM dentro del portafolio de ManageEngine.