Vulnerabilidad crítica en Desktop Central y Desktop Central MSP de Zoho
El fabricante de software empresarial Zoho emitió parches para una vulnerabilidad de seguridad crítica en Desktop Central y Desktop Central MSP que un adversario remoto podría explotar para realizar acciones no autorizadas en los servidores afectados.
Impactos:
Rastreada como CVE-2021-44757 , la deficiencia se refiere a una instancia de omisión de autenticación que «puede permitir que un atacante lea datos no autorizados o escriba un archivo zip arbitrario en el servidor», señaló la compañía en un aviso.
A Osword de SGLAB de Legendsec en Qi’anxin Group se le atribuye el descubrimiento y el informe de la vulnerabilidad. La firma india dijo que solucionó el problema en la versión de compilación 10.1.2137.9.
Afectaciones:
Con la última solución, Zoho ha abordado un total de cuatro vulnerabilidades en los últimos cinco meses:
- CVE-2021-40539 (puntaje CVSS: 9.8): vulnerabilidad de omisión de autenticación que afecta a Zoho ManageEngine ADSelfService Plus
- CVE-2021-44077 (puntaje CVSS: 9.8): vulnerabilidad de ejecución remota de código no autenticado que afecta a Zoho ManageEngine ServiceDesk Plus, ServiceDesk Plus MSP y SupportCenter Plus.
- CVE-2021-44515 (puntaje CVSS: 9.8): vulnerabilidad de omisión de autenticación que afecta a Zoho ManageEngine Desktop Central
siga las pautas de fortalecimiento de la seguridad para Desktop Central y Desktop Central MSP para asegurarse de que todos los controles de seguridad estén configurados para mantener su red segura.