Le fabricant de logiciels d’entreprise Zoho a publié lundi des correctifs pour une vulnérabilité de sécurité critique dans Desktop Central et Desktop Central MSP qu’un adversaire distant pourrait exploiter pour effectuer des actions non autorisées sur les serveurs concernés.
Suivi comme CVE-2021-44757, la lacune concerne une instance de contournement d’authentification qui « peut permettre à un attaquant de lire des données non autorisées ou d’écrire un fichier zip arbitraire sur le serveur », la société c’est noté dans un avis.
Osword de SGLAB de Legendsec du groupe Qi’anxin a été crédité d’avoir découvert et signalé la vulnérabilité. La société indienne a déclaré avoir résolu le problème dans la version 10.1.2137.9.
Avec le dernier correctif, Zoho a corrigé un total de quatre vulnérabilités au cours des cinq derniers mois —
- CVE-2021-40539 (score CVSS : 9,8) – Vulnérabilité de contournement d’authentification affectant Zoho ManageEngine ADSelfService Plus
- CVE-2021-44077 (score CVSS : 9,8) – Vulnérabilité d’exécution de code à distance non authentifiée affectant Zoho ManageEngine ServiceDesk Plus, ServiceDesk Plus MSP et SupportCenter Plus, et
- CVE-2021-44515 (score CVSS : 9,8) – Vulnérabilité de contournement d’authentification affectant Zoho ManageEngine Desktop Central
Étant donné que les trois failles susmentionnées ont été exploitées par des acteurs malveillants, il est recommandé aux utilisateurs d’appliquer les mises à jour dès que possible pour atténuer toute menace potentielle.