Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a productos Zoho, que permitiría a un atacante remoto ejecutar instrucciones SQL especialmente diseñadas en la base de datos del sistema afectado.
La vulnerabilidad identificada como CVE-2022-40300, de severidad “alta”, sin una puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad relacionada a la falta de validación de parámetros de entrada del lado del servidor en varios productos de los productos más populares Zoho, tal como ManageEngine Password Manager Pro. Esto permitiría a un atacante remoto ejecutar instrucciones SQL especialmente diseñadas en la base de datos del sistema afectado.
Los productos afectados son:
- Password Manager Pro, versión 12120 y anteriores.
- PAM360, versión 5550 y anteriores.
- Access Manager Plus, versión 4304 y anteriores.
Recomendamos acceder a las actualizaciones correspondientes provistas por Zoho en los siguientes enlaces:
Referencias:
- https://securityonline.info/cve-2022-40300-sql-injection-vulnerability-in-zoho-products/
- https://www.manageengine.com/products/passwordmanagerpro/advisory/cve-2022-40300.html
- https://nvd.nist.gov/vuln/detail/CVE-2022-40300
- https://www.manageengine.com/products/passwordmanagerpro/upgradepack.html
- https://www.manageengine.com/privileged-access-management/upgradepack.html
- https://www.manageengine.com/privileged-session-management/upgradepack.html