ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), saldırganların Zoho’nun ManageEngine ADSelfService Plus parola yönetimi çözümünde ortaya çıkan ve kontrolünün ele geçirmelerini sağlayan kritik güvenlik açığından yararlandıklarını açıkladı.
Güvenlik zafiyeti CVE-2021-40539 kodu ile tanımlandı ve uzaktan kimliği doğrulanmamış saldırganın savunmasız bir sistemde rastgele kod yürütmesine izin verebileceği belirtiliyor.
Zoho, zafiyetin giderilmesi için güncellemenin şu anda ADSelfService Plus için mevcut olduğunu duyurdu. Güvenlik açığı hakkında bilgi az ancak Zoho, sorunun kritik olduğunu belirtiyor. Şirket,zafiyeti “REST API URL’lerini etkileyen ve uzaktan kod yürütülmesine neden olabilecek bir kimlik doğrulama atlama güvenlik açığı” şeklinde açıklıyor.
Zoho, yaptığı açıklamada ADSelfService Plus builds 6114’den düşük sürümler için bu hizmet paketi kullanılarak en son güncelleştirmelerin yüklenmesini tavsiye ediyor.
Kaynak: bleepingcomputer.com
