개요.
Zoho의 ManageEngine 제품군에서 여러 고위험 취약점이 공개되었다.
공개일은 2026년 04월 16일이다.
대상 제품 및 영향 버전.
- Password Manager Pro: 8600에서 13230까지의 버전이 영향받는다.
- PAM360: 8530까지의 버전이 영향받는다.
- Log360: 빌드 13000에서 13013 사이의 버전이 영향받는다.
해결된 취약점 요약.
- CVE-2026-5785: 인증된 상태에서 발생하는 SQL 인젝션 취약점으로 Password Manager Pro와 PAM360에서 영향도가 높음으로 분류된다.
- CVE-2026-3324: Log360에서 발생하는 인증 우회 취약점으로 영향도가 높음으로 분류된다.
위험 및 영향.
- CVE-2026-5785는 인증된 계정을 통해 임의의 SQL 쿼리 실행 및 데이터베이스 무결성 손상 또는 민감정보 노출을 초래할 가능성이 있다.
- CVE-2026-3324는 인증 우회를 통해 권한 없는 접근이 발생할 가능성이 있어 시스템 제어 또는 정보 유출 위험을 초래할 수 있다.
권고 사항.
- 영향을 받는 제품은 패치된 버전으로 업데이트할 필요가 있다.
- 패치된 버전은 Password Manager Pro 13231, PAM360 8531, Log360 빌드 13017이다.
참고 자료.
- CVE-2026-5785 공지: https://www.manageengine.com/products/passwordmanagerpro/advisory/cve-2026-5785.html.
- CVE-2026-3324 공지: https://www.manageengine.com/log-management/advisory/CVE-2026-3324.html.