Jeudi, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) ajoutée une faille de sécurité récemment révélée dans Zoho ManageEngine à ses vulnérabilités exploitées connues (KEV) Catalogue, citant des preuves d’exploitation active.
« Zoho ManageEngine PAM360, Password Manager Pro et Access Manager Plus contiennent une vulnérabilité non spécifiée qui permet l’exécution de code à distance », a déclaré l’agence dans un avis.
La vulnérabilité critiquesuivi comme CVE-2022-35405est noté 9,8 sur 10 pour la gravité sur le système de notation CVSS et a été corrigé par Zoho dans le cadre des mises à jour publiées le 24 juin 2022.
Bien que la nature exacte de la faille reste inconnue, la société de solutions d’entreprise basée en Inde a dit il a résolu le problème en supprimant les composants vulnérables qui pourraient conduire à l’exécution à distance de code arbitraire.
Zoho a également mis en garde contre la disponibilité publique d’un exploit de preuve de concept (PoC) pour la vulnérabilité, ce qui rend impératif que les clients agissent rapidement pour mettre à niveau les instances de Password Manager Pro, PAM360 et Access Manager Plus dès que possible.
À la lumière de l’exploitation active dans la nature, les agences du Federal Civilian Executive Branch (FCEB) sont tenues d’appliquer les correctifs fournis par le fournisseur d’ici le 13 octobre 2022.