漏洞概述 CVE编号:CVE-2026-11374 漏洞名称:ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus, 和 ADAudit Plus 中的账户接管漏洞 严重程度:高 漏洞描述:未认证的攻击者如果成功预测有效的SSO票证,可以获得目标用户的身份和角色信息,最终导致该用户账户被接管。 影响范围 受影响产品版本: - ADSelfService Plus: 6528及更早版本 - RecoveryManager Plus: 6320及更早版本 - M365 Manager Plus: 4816及更早版本 - ADAudit Plus: 8702及更早版本 修复方案 修复措施:通过加强单点登录会话期间生成的SSO票证,确保它们不再能被未认证的攻击者预测。 更新步骤: - 下载并应用最新的服务包,链接如下: - ADSelfService Plus - RecoveryManager Plus - M365 Manager Plus - ADAudit Plus 致谢 该问题由 Oxmanhnn 通过 Zoho BugBounty 项目报告。 支持联系 ADSelfService Plus 支持:support@adselfserviceplus.com RecoveryManager Plus 支持:support@recoverymanagerplus.com M365 Manager Plus 支持:m365managerplus-support@manageengine.com ADAudit Plus 支持:support@adauditplus.com 页面其他信息 产品亮点: - 密码自助服务 - 密码和账户过期通知 - 密码策略执行器 - 单点登录 - 密码同步 - 目录自我更新和企业目录搜索 信任标志:IBM, Symantec, Northrop Grumman, Cisco, eBay 底部链接: - 下载 - 现场演示 - 比较版本 - 免费版本 - 获取报价 - 立即购买 公司信息: - 关于我们 - EULA - 服务条款 - 安全 - 合规性 - 隐私政策 - Cookie政策 - 联盟计划 - 通讯 - 联系我们 - 我们的办公室 - 全球(英语) 版权信息:© 2026 Zoho Corporation Pvt. Ltd. 保留所有权利。