Zoho'da motor uygulamaları yöneticisini yönetiyor, bir güvenlik açığı ilgili kurulumları tehlikeye atıyor. Bu, malign aktörlerin haklarını genişletmelerine ve daha fazla hasara neden olmalarını sağlar.
Duyuru
Bir güvenlik bildiriminde Zohocorp, Motor Uygulamaları Yöneticisinin yönetiminde “dikey haklar için zayıf bir nokta” olduğunu açıklar. Bir Genel Müdür, yetkilendirmeden kullanıcı grubunun parametrelerini değiştirerek idari erişim sağlayabilir. Bu, kullanıcı profillerini güncelleyebilen API tarafından yapılır (CVE 2024-41140, CVSS 8.1Risk “yüksek“).
Hata düzeltmesi mevcut
Güvenlik bildirimine göre, Zohocorp Ocak ayından bu yana bu güvenlik kaybını mühürleyen yazılım sağladı. Ancak, CVE CVE-2024-41140 öğesi hakkındaki bilgiler sadece bu haftanın ortasında yayınlandı. Motor uygulama yöneticisinin yönetimi bu nedenle V173900 sürümüyle ilgilenmektedir. Geliştiriciler ise 17000888899, 173303 ila 173399 sürümlerindeki zayıf noktayı, 174.000 ve daha yeni sürümleri onardılar.
Zohocorp web sitesinde, hizmetler indirmek için boşluğu mühürlemek için kullanılabilir. Zayıf nokta üretici tarafından yüksek risk altında olarak sınıflandırıldığından, BT yöneticileri güncellemeyi beklememelidir, ancak derhal gerçekleştirmelidirler. Siber suçlular genellikle Zoho'daki zayıflıklara saldırır. Örneğin, bir BT güvenlik şirketi tarafından bir konsept testi istismarının yayınlanmasından sonra, saldırılar hızla paletten 24 üründe zayıf bir noktada CVE-2022-47966'da gerçekleştirildi.
Kasım ayında, BT yöneticileri Zoho'nun Admanager Plus motorunu yöneten aktif olmak zorunda kaldı.
(DMK)
Duyuru
Bir güvenlik bildiriminde Zohocorp, Motor Uygulamaları Yöneticisinin yönetiminde “dikey haklar için zayıf bir nokta” olduğunu açıklar. Bir Genel Müdür, yetkilendirmeden kullanıcı grubunun parametrelerini değiştirerek idari erişim sağlayabilir. Bu, kullanıcı profillerini güncelleyebilen API tarafından yapılır (CVE 2024-41140, CVSS 8.1Risk “yüksek“).
Hata düzeltmesi mevcut
Güvenlik bildirimine göre, Zohocorp Ocak ayından bu yana bu güvenlik kaybını mühürleyen yazılım sağladı. Ancak, CVE CVE-2024-41140 öğesi hakkındaki bilgiler sadece bu haftanın ortasında yayınlandı. Motor uygulama yöneticisinin yönetimi bu nedenle V173900 sürümüyle ilgilenmektedir. Geliştiriciler ise 17000888899, 173303 ila 173399 sürümlerindeki zayıf noktayı, 174.000 ve daha yeni sürümleri onardılar.
Zohocorp web sitesinde, hizmetler indirmek için boşluğu mühürlemek için kullanılabilir. Zayıf nokta üretici tarafından yüksek risk altında olarak sınıflandırıldığından, BT yöneticileri güncellemeyi beklememelidir, ancak derhal gerçekleştirmelidirler. Siber suçlular genellikle Zoho'daki zayıflıklara saldırır. Örneğin, bir BT güvenlik şirketi tarafından bir konsept testi istismarının yayınlanmasından sonra, saldırılar hızla paletten 24 üründe zayıf bir noktada CVE-2022-47966'da gerçekleştirildi.
Kasım ayında, BT yöneticileri Zoho'nun Admanager Plus motorunu yöneten aktif olmak zorunda kaldı.
(DMK)