Introducció
Dilluns passat, 17 de gener, Zoho va emetre un pegat per a una vulnerabilitat que afectava a ManageEngine Desktop Central i Desktop Central MSP. [1]
Anàlisi
La vulnerabilitat permetia a un atacant sense autenticar realitzar accions no autoritzades en el servidor. D’aquesta manera, l’atacant podria llegir dades no permeses o crear arxius .zip de manera arbitrària en el servidor. [2]
Productes afectats:
-
-
- ManageEngine Desktop Central versions anteriors a la 10.1.2137.9
- ManageEngine Desktop Central MSP versions anteriors a la 10.1.2137.9
-
Aquesta vulnerabilitat té una puntuació CVSSv3 de 7.8, per la qual cosa es considera de prioritat alta.
No existeix prova de concepte que explote aquesta vulnerabilitat.
Recomanacions
Zoho ja ha resolt aquesta vulnerabilitat en el seu pegat 10.1.2137.9. Per a solucionar-la, s’ha d’iniciar sessió en la consola de Desktop Central [4] i instal·lar l’arxiu PPM per a actualitzar.
Referències
[1] https://thehackernews.com/2022/01/zoho-releases-patch-for-critical-flaw.html[2] https://securityaffairs.co/wordpress/126828/security/zoho-desktop-central-cve-2021-44757-flaw.html
[3] https://www.manageengine.com/products/desktop-central/cve-2021-44757.html
[4]https://accounts.zoho.com/signin?serviceurl=https://me.zoho.com/portal/mestore/redirectManageEngine.do&hide_signup=true&servicename=ManageEngine&css=https://www.zoho.com/css/me-login-spack.css