High-Impact Bug可以允许未经验证的攻击者执行任意代码
Zoho Corporation在披露重要的远程代码执行(RCE)端点管理解决方案中的漏洞。
在一个邮政在解决该缺陷时,该公司已敦促系统管理员更新到最新版本(10.0.479),该版本在周末(3月7日)发布。
RCE错误(CVE-2020-10189)“关键” CVSS得分为9.8,可以使远程,未经身份验证的攻击者能够在受影响的管理器安装上执行任意代码。
“特定缺陷存在于文件班级,”咨询在Source Incite上,其所有者,安全研究员Steven Seeley发现了该错误。
“问题是由于缺乏适当验证用户提供的数据而导致的,这可能导致避免不受信任的数据。攻击者可以利用这种漏洞在系统上下文下执行代码。”
ManageEngine强调,该缺陷不会影响安全的网关服务器。
什么是Manageengine Desktop Central?
ManageEngine Desktop Central可以帮助组织(包括托管服务提供商(MSP)¬-)中心管理和实施有关服务器,笔记本电脑,智能手机和平板电脑的软件更新。
由印度软件巨头Zoho Corporation拥有的品牌Manageengine声称,桌面中心已由超过12,000个组织。
史蒂文·塞利(Steven Seeley)公开披露了安全错误概念证明,3月5日。显然是在12月12日发现的漏洞。
分享他的发现推特Seeley说:“由于[Zoho]通常忽略了研究人员,所以我认为可以与所有人共享一个管理台式机台式零日漏洞。”
Zoho首席执行官Sridhar Vembu推文回:“我向您保证,我们认真对待所有安全报告。我们的安全团队直接向我报告,并在重中之重。”
一些Infosec专业人士尽管CERT/CC漏洞分析师Will Will表示,CERT/CC发现Zoho曾发现Zoho“反应迅速”,并且会愿意监督“协调的披露”,但称重为捍卫Seeley的评论。
ManageEngine还提供了为任何在应用最新更新时遇到问题的人手动修复缺陷的步骤。
它还表示,它以前在1月20日在Build 10.0.474中发布了短期修复。
Manageengine副总裁Mathivanan Venkatachalam说:“安全咨询已通过电子邮件发送给所有用户和Sysadmins。”每日swbeplay2018官网ig。
“我们还在各种技术论坛上发布了有关该错误的信息,并在升级到最新版本的情况下受过教育的客户。除此之外,我们确保存在产品内通知,如果用户要升级到最新版本,请提醒他们。”
