Nhà sản xuất phần mềm doanh nghiệp Zoho hôm thứ Hai đã phát hành các bản vá cho một lỗ hổng bảo mật quan trọng trong Desktop Central và Desktop Central MSP mà kẻ thù từ xa có thể khai thác để thực hiện các hành động trái phép trong các máy chủ bị ảnh hưởng.
Được theo dõi là CVE-2021-44757, thiếu sót liên quan đến một trường hợp bỏ qua xác thực “có thể cho phép kẻ tấn công đọc dữ liệu trái phép hoặc ghi tệp zip tùy ý trên máy chủ”, công ty lưu ý trong một lời khuyên.
Osword từ SGLAB của Legendsec tại Qi'anxin Group đã được ghi nhận là người phát hiện và báo cáo lỗ hổng bảo mật. Công ty Ấn Độ cho biết họ đã khắc phục sự cố trong phiên bản xây dựng 10.1.2137.9.
Với bản sửa lỗi mới nhất, Zoho đã giải quyết tổng cộng bốn lỗ hổng trong năm tháng qua –
CVE-2021-40539 (điểm CVSS: 9,8) – Lỗ hổng xác thực bỏ qua ảnh hưởng đến Zoho ManageEngine ADSelfService Plus CVE-2021-44077 (điểm CVSS: 9,8) – Lỗ hổng thực thi mã từ xa chưa được xác thực ảnh hưởng đến Zoho ManageEngine ServiceDesk Plus, ServiceDesk Plus MSP và SupportCenter Plus và CVE-2021-44515 (điểm CVSS: 9,8) – Lỗ hổng xác thực bỏ qua ảnh hưởng đến Zoho ManageEngine Desktop Central
Do cả ba lỗ hổng nói trên đều đã bị khai thác bởi các tác nhân độc hại, người dùng nên áp dụng các bản cập nhật càng sớm càng tốt để giảm thiểu mọi mối đe dọa tiềm ẩn.
.
