Zoho phát hành bản vá cho lỗ hổng nghiêm trọng trong Desktop Central ManageEngine

Vào thứ Hai, Zoho đã phát hành các bản vá cho một lỗ hổng bảo mật nghiêm trọng trong Desktop Central và Desktop Central MSP cho phép kẻ tấn công thực hiện các hành động trái phép trên các máy chủ bị ảnh hưởng.

Công ty cho biết lỗ hổng có định danh CVE-2021-44757, được Osword từ SGLAB phát hiện và báo cáo, do thiếu kiểm tra xác thực dẫn đến "kẻ tấn công có thể đọc dữ liệu trái phép hoặc ghi tệp zip tùy ý trên máy chủ".

Công ty đã phát hành bản vá cho lỗ hổng trong phiên bản 10.1.2137.9.

Với bản cập nhật mới nhất, Zoho đã khắc phục tổng cộng bốn lỗ hổng trong 5 tháng gần đây, bao gồm:

CVE-2021-40539 (Điểm CVSS: 9,8) - Lỗ hổng bypass (bỏ qua) xác thực ảnh hưởng đến Zoho ManageEngine ADSelfService Plus

CVE-2021-44077 (Điểm CVSS: 9,8) - Lỗ hổng thực thi mã từ xa mà không cần xác thực, ảnh hưởng đến Zoho ManageEngine ServiceDesk Plus, ServiceDesk Plus MSP và SupportCenter Plus

CVE-2021-44515 (Điểm CVSS: 9,8) - Lỗ hổng bypass xác thực ảnh hưởng đến Zoho ManageEngine Desktop Central

Cả ba lỗ hổng trên đều đã bị tin tặc khai thác trong thực tế. Để giảm thiểu nguy cơ bị khai thác tấn công, người dùng nên áp dụng/cài đặt các bản cập nhật ngay khi có thể.

Nguồn: thehackernews.com.