Sicherheit & Cyberabwehr

ManageEngine AD360: Kritische SSO-Lücke erlaubt Kontoübernahme, Updates verfügbar

04.07.2026 2 Min. Lesezeit
Alle Artikel

Eine als kritisch eingestufte Schwachstelle in ManageEngine AD360 erlaubt es Angreifern, fremde Benutzerkonten zu übernehmen. Betroffen sind vier Produkte, sobald sie als Komponenten in AD360 eingebunden sind. Hersteller Zoho hat bereits Updates veröffentlicht.

Die Lücke trägt die Kennung CVE-2026-11374 und erreicht einen CVSS-Wert von 9,0. Sie steckt im Single Sign-on. Meldet sich jemand per SSO an einem der eingebundenen Produkte an, erzeugt das System ein Ticket für die Sitzung. Weil sich diese Tickets vorhersagen lassen, kann ein nicht angemeldeter Angreifer ein gültiges Ticket erraten und damit die Identität samt Rechten des Opfers übernehmen. Der Angriff läuft über das Netzwerk, ganz ohne Zugangsdaten und ohne Zutun des Nutzers. Trivial ist er trotzdem nicht, denn die Vorhersage der Tickets kostet erheblichen Aufwand. Genau deshalb liegt der CVSS-Wert nicht beim Höchstwert.

Diese Produkte sind betroffen

Relevant wird die Lücke nur bei AD360-Integration. Zoho verteilt die Korrekturen über mehrere Service Packs mit unterschiedlichen Terminen:

  • ADSelfService Plus: anfällig bis Build 6528, behoben in 6529 (03.06.2026)
  • RecoveryManager Plus: anfällig bis Build 6320, behoben in 6321 (05.06.2026)
  • M365 Manager Plus: anfällig bis Build 4816, behoben in 4817 (10.06.2026)
  • ADAudit Plus: anfällig bis Build 8702, behoben in 8703 (12.06.2026)

Was du jetzt tun solltest

Der Hersteller erzeugt die SSO-Tickets nun so, dass sie sich nicht mehr vorhersagen lassen. Spiel das jeweils aktuelle Service Pack über die Produktseiten ein und behandle Installationen mit AD360-Integration bevorzugt. Gemeldet wurde die Schwachstelle vom Sicherheitsforscher 0xmanhnv über das Zoho-Bug-Bounty-Programm. Hinweise auf Angriffe in freier Wildbahn gibt es bislang nicht, und ein Eintrag im KEV-Katalog der CISA liegt ebenfalls nicht vor.