Er is onlangs een kwetsbaarheid voor het omzeilen van authenticatie geïdentificeerd en gepatcht in Zoho Desktop Central en Desktop Central MSP.
CVE-2021-44757: Verificatie-bypass-kwetsbaarheid in Zoho Desktop Central
Bekend als CVE-2021-44757, de fout is nu verholpen en vrijgegeven in de nieuwste build van het bedrijf in januari 17, 2022, volgens de officiële kennisgeving.
In het geval van een succesvolle exploitatie, het beveiligingslek kan aanvallers in staat stellen ongeautoriseerde gegevens te lezen of een willekeurig ZIP-bestand op de server te schrijven.
In termen van mitigatie, klanten wordt geadviseerd om de nieuwste versies van Desktop Central en Desktop Central MSP . aan te schaffen. Als u last heeft van de kwetsbaarheid CVE-2021-44757, je zou moeten verwijzen naar Bureaublad Centraal en Desktop Central MSP voor meer details.
Andere recent aangepakte kwetsbaarheden in Zoho-producten zijn de volgende kritieke problemen::
- CVE-2021-40539 – Probleem met het omzeilen van authenticatie in Zoho ManageEngine ADSelfService Plus;
- CVE-2021-44077 – Niet-geverifieerde RCE-kwetsbaarheid die invloed heeft op Zoho ManageEngine ServiceDesk Plus, ServiceDesk Plus MSP, en SupportCenter Plus;
- CVE-2021-44515 – Fout bij het omzeilen van authenticatie in Zoho ManageEngine Desktop Central.
Het toepassen van de beschikbare patches wordt sterk aanbevolen, aangezien deze drie kwetsbaarheden zijn misbruikt bij actieve aanvallen. Om aanvallen op basis van de meest recente CVE-2021-44757-fout te voorkomen, volg de aanbevolen maatregelen.