Enterprise-softwaremaker Zoho heeft maandag patches uitgegeven voor een kritiek beveiligingslek in Desktop Central en Desktop Central MSP dat een externe kwaadwillende zou kunnen misbruiken om ongeautoriseerde acties uit te voeren op getroffen servers.

Bijgehouden als CVE-2021-44757, de tekortkoming betreft een instantie van authenticatie-bypass die "een aanvaller in staat kan stellen ongeautoriseerde gegevens te lezen of een willekeurig zipbestand op de server te schrijven", het bedrijf bekend in een advies.

Osword van SGLAB of Legendsec bij Qi'anxin Group is gecrediteerd met het ontdekken en rapporteren van de kwetsbaarheid. Het Indiase bedrijf zei dat het het probleem heeft verholpen in buildversie 10.1.2137.9.

Met de nieuwste oplossing heeft Zoho de afgelopen vijf maanden in totaal vier kwetsbaarheden aangepakt:

• CVE-2021-40539 (CVSS-score: 9.8) – Kwetsbaarheid omzeilt authenticatie die invloed heeft op Zoho ManageEngine ADSelfService Plus
• CVE-2021-44077 (CVSS-score: 9.8) – Niet-geverifieerde kwetsbaarheid voor uitvoering van externe code die invloed heeft op Zoho ManageEngine ServiceDesk Plus, ServiceDesk Plus MSP en SupportCenter Plus, en
• CVE-2021-44515 (CVSS-score: 9.8) – Kwetsbaarheid omzeilt authenticatie die invloed heeft op Zoho ManageEngine Desktop Central

In het licht van het feit dat alle drie bovengenoemde fouten zijn uitgebuit door kwaadwillende actoren, wordt aanbevolen dat gebruikers de updates zo snel mogelijk toepassen om mogelijke bedreigingen te verminderen.

Bron: https://thehackernews.com/2022/01/zoho-releases-patch-for-critical-flaw.html