![Vulnérabilité De Zoho Manageengine Vulnérabilité De Zoho Manageengine](https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEi3lAG-_AQkLIeTAck69hwfthXZL2c_CCkp1M9-dTB-jESfXRkBYWad1oJ2D75-1IyOKeVSOMEh4-0XFNz60_5RCj9TV2y0WOgrlicb3hXYF5LInbkd_cPtjB6F8C8l9WKX2DB8j3F4vMQ1MhmlbFo_qauyWrNaoa60btnMdP6NjVyKEMBcZwHyr5U-/s728-e1000/zoho.jpg)
Jeudi, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) ajoutée une faille de sécurité récemment révélée dans Zoho ManageEngine à ses vulnérabilités exploitées connues (KEV) Catalogue, citant des preuves d’exploitation active.
« Zoho ManageEngine PAM360, Password Manager Pro et Access Manager Plus contiennent une vulnérabilité non spécifiée qui permet l’exécution de code à distance », a déclaré l’agence dans un avis.
La vulnérabilité critiquesuivi comme CVE-2022-35405est noté 9,8 sur 10 pour la gravité sur le système de notation CVSS et a été corrigé par Zoho dans le cadre des mises à jour publiées le 24 juin 2022.
Bien que la nature exacte de la faille reste inconnue, la société de solutions d’entreprise basée en Inde a dit il a résolu le problème en supprimant les composants vulnérables qui pourraient conduire à l’exécution à distance de code arbitraire.
Zoho a également mis en garde contre la disponibilité publique d’un exploit de preuve de concept (PoC) pour la vulnérabilité, ce qui rend impératif que les clients agissent rapidement pour mettre à niveau les instances de Password Manager Pro, PAM360 et Access Manager Plus dès que possible.
À la lumière de l’exploitation active dans la nature, les agences du Federal Civilian Executive Branch (FCEB) sont tenues d’appliquer les correctifs fournis par le fournisseur d’ici le 13 octobre 2022.