Zoho brengt patch uit voor kritieke fout die van invloed is op ManageEngine Desktop Central

Software central de escritorio ManageEngine Nachrichten

Enterprise-softwaremaker Zoho heeft maandag patches uitgegeven voor een kritiek beveiligingslek in Desktop Central en Desktop Central MSP dat een externe kwaadwillende zou kunnen misbruiken om ongeautoriseerde acties uit te voeren op getroffen servers.

Bijgehouden als CVE-2021-44757, de tekortkoming betreft een instantie van authenticatie-bypass die “een aanvaller in staat kan stellen ongeautoriseerde gegevens te lezen of een willekeurig zip-bestand op de server te schrijven”, het bedrijf dat is genoteerd in een advies.

Osword van SGLAB of Legendsec bij Qi’anxin Group is gecrediteerd met het ontdekken en rapporteren van de kwetsbaarheid. Het Indiase bedrijf zei dat het het probleem heeft verholpen in buildversie 10.1.2137.9.

Met de nieuwste oplossing heeft Zoho de afgelopen vijf maanden in totaal vier kwetsbaarheden aangepakt:

  • CVE-2021-40539 (CVSS-score: 9,8) – Kwetsbaarheid van authenticatie-bypass die invloed heeft op Zoho ManageEngine ADSelfService Plus
  • CVE-2021-44077 (CVSS-score: 9,8) – Niet-geverifieerde kwetsbaarheid voor het uitvoeren van externe code die invloed heeft op Zoho ManageEngine ServiceDesk Plus, ServiceDesk Plus MSP en SupportCenter Plus, en
  • CVE-2021-44515 (CVSS-score: 9,8) – Kwetsbaarheid omzeiling van authenticatie die invloed heeft op Zoho ManageEngine Desktop Central

In het licht van het feit dat alle drie bovengenoemde fouten zijn uitgebuit door kwaadwillende actoren, wordt aanbevolen dat gebruikers de updates zo snel mogelijk toepassen om mogelijke bedreigingen te verminderen.

David
Rate author
Hackarizona