[Etats-Unis] Vulnérabilités dans Desktop Central de Zoho

Risques

• Exécution de code arbitraire
• Élévation de privilèges

Criticité

• Score CVSS v3.1: 8.8 max

La faille est activement exploitée

• Non

Un correctif existe

•  Oui

Une mesure de contournement existe

• Non

Les vulnérabilités exploitées sont du type

• CWE : Inconnue pour le moment.

Détails sur l’exploitation

Pour CVE-2021-46164

• Vecteur d’attaque : réseau
• Complexité de l’attaque : Faible
• Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur à privilège
• Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
• L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

Pour CVE-2021-46165

• Vecteur d’attaque : réseau
• Complexité de l’attaque : Faible
• Privilèges nécessaires pour réaliser l’attaque : Aucun
• Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
• L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui

Composants vulnérables.

• Manage Engine Desktop Central 10 de ZOHO

• Effectuer la mise à jour Manage Engine Desktop Central vers la version 10.0.662 de ZOHO, ou toutes autres versions plus récentes.