La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el jueves adicional una falla de seguridad recientemente revelada en Zoho ManageEngine a sus vulnerabilidades conocidas explotadas (KEV) Catálogo, citando evidencia de explotación activa.
«Zoho ManageEngine PAM360, Password Manager Pro y Access Manager Plus contienen una vulnerabilidad no especificada que permite la ejecución remota de código», dijo la agencia en un aviso.
los vulnerabilidad críticarastreado como CVE-2022-35405tiene una calificación de 9,8 sobre 10 en cuanto a gravedad en el sistema de puntuación CVSS, y Zoho lo reparó como parte de las actualizaciones publicadas el 24 de junio de 2022.
Aunque se desconoce la naturaleza exacta de la falla, la compañía de soluciones empresariales con sede en India dijo abordó el problema eliminando los componentes vulnerables que podrían conducir a la ejecución remota de código arbitrario.
Zoho también advirtió sobre la disponibilidad pública de un exploit de prueba de concepto (PoC) para la vulnerabilidad, por lo que es imperativo que los clientes se muevan rápidamente para actualizar las instancias de Password Manager Pro, PAM360 y Access Manager Plus lo antes posible.
A la luz de la explotación activa en la naturaleza, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar los parches proporcionados por el proveedor antes del 13 de octubre de 2022.