Zoho发布了影响ManageEngine Desktop Central的关键缺陷修补程序

企业软件制造商Zoho周一发布了针对Desktop Central和Desktop Central MSP中一个严重安全漏洞的补丁，远程对手可以利用该漏洞在受影响的服务器上执行未经授权的操作

被追踪为CVE-2021-44757，该缺陷涉及一个绕过身份验证的实例，该公司在一份公告中指出，“可能允许攻击者读取未经授权的数据或在服务器上写入任意zip文件”

齐安信集团Legendsec SGLAB的$###Osword发现并报告了该漏洞。这家印度公司表示，它在版本10.1.2137.9中解决了这个问题

通过最新的修复，Zoho在过去五个月内共解决了四个漏洞—

CVE-2021-40539（CVSS分数：9.8）和#8211；影响Zoho ManageEngine ADSelfService Plus的身份验证绕过漏洞

CVE-2021-44077（CVSS分数：9.8）和#8211；影响Zoho ManageEngine ServiceDesk Plus、ServiceDesk Plus MSP和SupportCenter Plus的未经验证的远程代码执行漏洞。

CVE-2021-44515（CVSS分数：9.8）和#8211；影响Zoho ManageEngine Desktop Central的身份验证绕过漏洞

鉴于上述三个缺陷都已被恶意行为人利用，建议用户尽快应用更新以缓解任何潜在威胁。