CVE-2026-11374

설명

In ManageEngine ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus, and ADAudit Plus, the SSO tickets generated to authenticate that session could be predicted by an unauthenticated user, leading to account takeover.

영향 제품·버전

공급사 zohocorp

제품 manageengine_adselfservice_plus, manageengine_recovery_manager_plus, manageengine_m365_manager_plus

영향 버전 0

수정 버전 공식 출처에서 확인 필요

조치 방법

• 공급사가 제공한 최신 보안 업데이트 적용
• 자사 보유 제품과 영향 버전의 일치 여부 확인
• 외부 노출 서비스와 비정상 인증·접속 로그 점검
• 패치가 어려우면 공급사 완화조치와 접근통제 적용

기술 정보

CVSS 벡터 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

CWE CWE-287, CWE-330, CWE-340

EPSS 데이터 기준일 2026.06.27