Zoho ManageEngine Ürününde Kimlik Doğrulamasız Uzaktan Kod Çalıştırmaya İmkan Veren Kritik Sıfırıncı Gün Zafiyeti Tespit Edildi

Zoho ManageEngine Ürününde Kimlik Doğrulamasız Uzaktan Kod Çalıştırmaya İmkan Veren Kritik Sıfırıncı Gün Zafiyeti Tespit Edildi

Zoho ManageEngine Ürününde Kimlik Doğrulamasız Uzaktan Kod Çalıştırmaya İmkan Veren Kritik Sıfırıncı Gün Zafiyeti Tespit Edildi

Güvenlik uzmanları ManageEnfine isimli Zoho firmasına ait üründe kritik bir güvenlik afiyeti keşfettiğini Twitter üzerinden duyurdu.

Tespit edilen zafiyet kurumların sunucuları, dizüstü bilgisayarları, masaüstü bilgisayarları, akıllı telefonları ve tabletleri merkezi bir konumdan yönetmelerine yardımcı olan Zoho ManageEngine Desktop Central uç nokta yönetimi çözümünü etkiyor.

Zafiyeti bulan Steven Seeley , Zoho sıfırıncı gün açığını teknik detayları ve PoC koduyla birlikte duyurdu.

“Bu güvenlik açığı uzak saldırganların ManageEngine Desktop Central’ın ilgili versiyonlarında rasgele kod yürütmesine izin veriyor. Bu güvenlik açığının kullanılması için herhangi bir kimlik doğrulama gerekmiyor ” şeklinde açıklamalarda bulundu.

“Zafiyetin kaynağı FileStorage komponentinde bulunuyor. Sorun, kullanıcı tarafından sağlanan verilerin doğru bir şekilde doğrulanmamasından kaynaklanıyor . Saldırgan, Windows SYSTEM kullanıcısı yetkileri ile kimlik denetimsiz uzaktan kod çalıştırabilir.” Bu zafiyet CVE-2020-10189 ile numaralandırıldı.

Leave a Reply

Your email address will not be published. Required fields are marked *