📄 Description (English)
Zoho ManageEngine ADSelfService Plus Remote Code Execution Vulnerability — Zoho ManageEngine ADSelfService Plus contains an unspecified vulnerability allowing for remote code execution when performing a password change or reset.
🤖 AI Executive Summary
Zoho ManageEngine ADSelfService Plus contains a critical remote code execution vulnerability (CVSS 9.0) in its password change/reset functionality, allowing unauthenticated attackers to execute arbitrary code. This vulnerability poses an immediate threat to Saudi organizations using this identity management solution, particularly those managing Active Directory environments. Exploitation is trivial with publicly available exploits, making rapid patching essential.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: Apr 21, 2026 21:46
🇸🇦 Saudi Arabia Impact Assessment
Critical impact on Saudi banking sector (SAMA-regulated institutions), government agencies (NCA oversight), healthcare providers (MOH), and large enterprises managing employee identities. ADSelfService Plus is widely deployed in Saudi organizations for self-service password management and Active Directory integration. Successful exploitation grants attackers domain-level access, enabling lateral movement, data exfiltration, and ransomware deployment. ARAMCO, STC, and other critical infrastructure operators using this solution face severe operational risk.
🏢 Affected Saudi Sectors
Banking and Financial Services
Government and Public Administration
Healthcare
Energy and Utilities
Telecommunications
Large Enterprises
Education
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
9.5
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Identify all instances of Zoho ManageEngine ADSelfService Plus in your environment and document versions
2. Isolate affected systems from production networks if patching cannot be completed within 24 hours
3. Implement network-level access controls restricting access to ADSelfService Plus to authorized users only
4. Enable enhanced logging on password change/reset functions
PATCHING:
1. Apply Zoho's latest security patch immediately (versions 6.1.2 and later contain fixes)
2. Verify patch installation by checking version numbers post-deployment
3. Test patches in non-production environments first
4. Schedule maintenance windows for production patching within 48 hours
COMPENSATING CONTROLS (if patching delayed):
1. Implement Web Application Firewall (WAF) rules blocking suspicious password reset requests
2. Deploy reverse proxy with authentication enforcement
3. Monitor for exploitation attempts using IDS/IPS signatures
4. Restrict administrative access to ADSelfService Plus configuration
DETECTION:
1. Monitor HTTP POST requests to password reset endpoints for unusual parameters
2. Alert on any code execution attempts from ADSelfService Plus processes
3. Track failed authentication attempts followed by successful password resets
4. Monitor for unexpected outbound connections from ADSelfService Plus servers
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تحديد جميع نسخ Zoho ManageEngine ADSelfService Plus في بيئتك وتوثيق الإصدارات
2. عزل الأنظمة المتأثرة عن شبكات الإنتاج إذا لم يتمكن من إكمال التصحيح خلال 24 ساعة
3. تطبيق عناصر تحكم الوصول على مستوى الشبكة لتقييد الوصول إلى ADSelfService Plus للمستخدمين المصرحين فقط
4. تفعيل السجلات المحسّنة على وظائف تغيير/إعادة تعيين كلمة المرور
التصحيح:
1. تطبيق أحدث تصحيح أمني من Zoho فوراً (الإصدارات 6.1.2 والإصدارات الأحدث تحتوي على إصلاحات)
2. التحقق من تثبيت التصحيح بفحص أرقام الإصدارات بعد النشر
3. اختبار التصحيحات في بيئات غير الإنتاج أولاً
4. جدولة نوافذ الصيانة لتصحيح الإنتاج خلال 48 ساعة
عناصر التحكم البديلة (إذا تأخر التصحيح):
1. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لحجب طلبات إعادة تعيين كلمة المرور المريبة
2. نشر وكيل عكسي مع فرض المصادقة
3. مراقبة محاولات الاستغلال باستخدام توقيعات IDS/IPS
4. تقييد الوصول الإداري إلى تكوين ADSelfService Plus
الكشف:
1. مراقبة طلبات HTTP POST إلى نقاط نهاية إعادة تعيين كلمة المرور للمعاملات غير العادية
2. التنبيه على أي محاولات تنفيذ أوامر من عمليات ADSelfService Plus
3. تتبع محاولات المصادقة الفاشلة متبوعة بإعادة تعيين كلمة المرور الناجحة
4. مراقبة الاتصالات الخارجية غير المتوقعة من خوادم ADSelfService Plus
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
A.5.1.1 - Information security policies and procedures
A.8.1.1 - User access management and authentication
A.12.2.1 - Change management procedures
A.12.6.1 - Management of technical vulnerabilities
🔵 SAMA CSF
ID.AM-2 - Software inventory and asset management
PR.AC-1 - Access control and authentication mechanisms
PR.PT-2 - Protective technology deployment
DE.CM-8 - Vulnerability scanning and management
🟡 ISO 27001:2022
A.12.6.1 - Management of technical vulnerabilities
A.14.2.1 - Secure development policy
A.12.2.1 - Change management
A.5.2.1 - Information security responsibilities
🟣 PCI DSS v4.0
6.2 - Security patches and updates
6.5.1 - Injection flaws prevention
11.2 - Vulnerability scanning
🔗 References & Sources 0
No references.
📦 Affected Products / CPE 1 entries
Zoho:ManageEngine