Zohoの「ManageEngine ADSelfService Plus」に脆弱性 - すでに悪用も
Zohoが提供する「ManageEngine ADSelfService Plus」において深刻な脆弱性が明らかとなった。脆弱性の悪用が確認されており、同社や米当局が注意を呼びかけている。
同製品は、「Active Directory」においてアカウントロックやパスワードのセルフリセット、シングルサインオンなどの機能を提供するソフトウェア。
「REST API」の処理において、細工したリクエストにより認証をバイパスされ、リモートよりコードを実行されるおそれがある脆弱性「CVE-2021-40539」が明らかとなった。
同社は脆弱性の重要度を「クリティカル(Critical)」と評価しており、すでに悪用されていることを把握しているという。
同社は、脆弱性を修正した「同ビルド6114」をリリースしており、利用者にサービスパックを用いてアップデートするよう呼びかけている。また脆弱性の判明を受け、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)などからも注意喚起が行われている。
(Security NEXT - 2021/09/09 )
ツイート
PR
関連記事
Acronisのデータバックアップ用インフラ製品に深刻な脆弱性 - すでに悪用も
組込システムの検証テストツール「NI VeriStand」に複数脆弱性
SonicWall、「Blast-RADIUS」の緩和策でアドバイザリ
「Spring Cloud Data Flow」に深刻な脆弱性 - アップデートが公開
「BIND 9」の脆弱性、関連機関がアップデートを強く推奨
「Telerik Report Server」に深刻な脆弱性 - 最新版へ更新を
「VMware ESXi」「vCenter Server」に脆弱性 - 修正パッチが公開
Oktaのウェブブラウザ向けプラグインにXSS脆弱性
「GitLab」にセキュリティアップデート - 脆弱性6件を修正
米当局、「Twilio」や「IE」の脆弱性悪用に注意呼びかけ