Se ha descubierto una vulnerabilidad de severidad alta en productos Zoho Corporation. Un actor malicioso podría realizar la ejecución remota de código en las máquinas donde se encuentran instalados los agentes de los sistemas afectados.
Productos afectados
- ADSelfService Plus: versiones anteriores a la 6525.
- DataSecurity Plus: versiones anteriores a la 6264.
- RecoveryManager Plus: versiones anteriores a la 6313.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026–2740: con una puntuación de 8.4 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos por neutralización inadecuada de elementos especiales en un comando. Un actor malicioso remoto y autenticado podría explotar un fallo en una dependencia de terceros para ejecutar código arbitrario de forma remota en los equipos de los agentes.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias