美国网络安全和基础设施安全局 (CISA) 警告称,一个于 XNUMX 月首次披露的严重 Zoho ManageEngine 远程代码执行 (RCE) 漏洞现在正受到积极攻击。
根据Zoho的 补丁咨询,该错误“可能允许远程攻击者在受影响的安装上执行任意代码。”
多 Zoho ManageEngine 产品 CISA 表示,受影响的包括 Zoho ManageEngine PAM360、Password Manager Pro 和 Access Manager Plus。
Zoho 补充说,利用 Password Manager Pro 和 PAM360 产品中的漏洞不需要身份验证。
CISA 已移至 将 Zoho ManageEngine 错误添加到 Known Exploited Vulnerabilities 目录,这表明错误(CVE-2022-35405)都在 主动利用 并对联邦政府的系统构成威胁。
CISA 建议联邦机构立即应用供应商补丁。
