
Se han lanzado actualizaciones de seguridad que corrigen una vulnerabilidad de severidad crítica en productos Zoho. Un actor malicioso podría aprovechar y eludir los mecanismos de autenticación.
Productos afectados
- ADSelfService Plus: versiones anteriores a la 6529.
- RecoveryManager Plus: versiones anteriores a la 6321.
- M365 Manager Plus: versiones anteriores a la 4817.
- ADAudit Plus: versiones anteriores a la 8703.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026-11374: con una puntuación de 9.0 en CVSS v3.1. Existe una vulnerabilidad de suplantación de identidad debido a la generación predecible de tokens o tickets de Inicio de Sesión Único en múltiples productos de la suite ManageEngine de Zoho sobre plataformas Windows. Un actor malicioso remoto no autenticado podría aprovechar esta deficiencia deduciendo matemáticamente los identificadores de sesión; esto le permitiría falsificar tokens legítimos, secuestrar sesiones activas y lograr el robo o control total de cuentas del usuario.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias