엔터프라이즈 소프트웨어 제조업체 Zoho는 월요일 원격 공격자가 영향을 받는 서버에서 무단 작업을 수행하기 위해 악용할 수 있는 Desktop Central 및 Desktop Central MSP의 심각한 보안 취약점에 대한 패치를 발표했습니다.
로 추적 CVE-2021-44757, 단점은 "공격자가 서버에서 승인되지 않은 데이터를 읽거나 임의의 zip 파일을 쓸 수 있도록 허용할 수 있는" 인증 우회 인스턴스와 관련이 있습니다. 유명한 자문에서.
Qi'anxin Group의 Legendsec에 있는 SGLAB의 Osword는 취약점을 발견하고 보고한 공로를 인정받았습니다. 인도 회사는 빌드 버전 10.1.2137.9에서 문제를 수정했다고 말했습니다.
최신 수정을 통해 Zoho는 지난 XNUMX개월 동안 총 XNUMX개의 취약점을 해결했습니다.
- CVE-2021-40539 (CVSS 점수: 9.8) – Zoho ManageEngine ADSelfService Plus에 영향을 미치는 인증 우회 취약점
- CVE-2021-44077 (CVSS 점수: 9.8) – Zoho ManageEngine ServiceDesk Plus, ServiceDesk Plus MSP 및 SupportCenter Plus에 영향을 미치는 인증되지 않은 원격 코드 실행 취약점
- CVE-2021-44515 (CVSS 점수: 9.8) – Zoho ManageEngine Desktop Central에 영향을 미치는 인증 우회 취약점
앞서 언급한 세 가지 결함이 모두 악의적인 행위자에 의해 악용되었다는 사실에 비추어 사용자가 잠재적인 위협을 완화하기 위해 가능한 한 빨리 업데이트를 적용하는 것이 좋습니다.
출처: https://thehackernews.com/2022/01/zoho-releases-patch-for-critical-flaw.html