に | Last Update:
|
0 コメントコメント
CISAは新しいに関するアラートをリリースしました, ZohoManageEngineサーバーに影響を与える重大なゼロデイ脆弱性.
関連している: KaseyaUnitrendsで開示された3つの新しいゼロデイ
すなわち, 認証バイパスの欠陥は、ADSelfServicePlusのRESTAPIURLに影響します, リモートでコードが実行される可能性があります, 悪用に成功した場合. ゼロデイはCVE-2021-40539として識別されています.
CVE-2021-40539ZohoManageEngineのゼロデイ
開示後, Zohoはこの欠陥に対処するセキュリティアップデートをリリースしました. この欠陥自体がManageEngineADSelfServicePlusビルドに影響します 6113 以下.
Zohoのアドバイザリによると, ゼロデイ攻撃により、攻撃者は特別に細工されたリクエストを送信することで、RESTAPIエンドポイントを介して製品への不正アクセスを取得できます。. これにより、攻撃者は後続の攻撃を実行してRCEを発生させることができます。」
ManageEngineADSelfServicePlusとは何ですか?
これは、ActiveDirectoryおよびクラウドアプリ向けのセルフサービスのパスワード管理およびシングルサインオンソリューションです。. 「CISAは、ADSelfServicePlusがインターネットから直接アクセスできないようにすることを組織に強く求めています。,」研究者 警告.
ユーザーと管理者は、詳細についてZohoのアドバイザリに関連することをお勧めします, ADSelfServicePlusビルドに更新します 6114.