Un chercheur révèle que les produits ManageEngine de Zoho sont vulnérables depuis deux ans, du fait d’un défaut de mise à jour d’un composant tiers. Selon lui, il s’agit d’une faille de désérialisation Java héritée d’une version obsolète d’Apache OFBiz, un système de planification open source des ressources d’entreprise. La vulnérabilité découverte a été baptisée CVE-2022-3540.
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) estime la menace sérieuse et immédiate (gravité de 9,8 sur 10) pour les entreprises n’ayant pas appliqué le correctif disponible car les produits concernés sont utilisés pour l’authentification et la gestion des accès.
La firme Zoho conseille fortement d’effectuer une mise à jour vers Access Manager Plus version 4303 ou ultérieure, Password Manager Pro version 12101 ou ultérieure et PAM360 5510 ou ultérieure. La société, basée à Chennai en Inde, indique qu’elle a corrigé la faille en supprimant complètement le composant vulnérable de PAM360 et d’Access Manager Plus et en supprimant l’analyseur XML-RPC vulnérable de Password Manager Pro.