Uma falha de alta gravidade em produtos da ManageEngine pode permitir que invasores sem autenticação prevejam tokens de login único e acessem informações de identidade e permissões de usuários em ambientes integrados ao AD360.
A vulnerabilidade foi identificada como CVE-2026-11374 e afeta soluções usadas para gestão de identidade, administração do Active Directory, auditoria e controle de ambientes Microsoft 365.
Os produtos impactados são ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus e ADAudit Plus quando implantados dentro do ecossistema ManageEngine AD360.
O problema está na forma como os tíquetes de autenticação são gerados durante o acesso via login único.
Segundo o alerta, um invasor poderia prever esses tokens e criar sessões aparentemente válidas sem possuir credenciais legítimas.
Com isso, o atacante poderia se passar por usuários e acessar dados sensíveis, incluindo informações de identidade, funções e permissões associadas às contas.
Em ambientes corporativos, esses detalhes podem ajudar em novos ataques e tentativas de escalada de privilégios.
A falha afeta o ADSelfService Plus 6528 e anteriores, RecoveryManager Plus 6320 e anteriores, M365 Manager Plus 4816 e anteriores, e ADAudit Plus 8702 e anteriores.
A ManageEngine disponibilizou correções em versões lançadas entre 3 e 12 de junho de 2026.
