独立行政法人情報処理推進機構(IPA)は11月2日、複数のZoho製品における脆弱性について「JVN iPedia」で情報を公開した。対象となる製品は、「Zoho ManageEngine Patch Connect Plus」および「Zoho ManageEngine ADManager Plus」。CVSS v3 による深刻度は、いずれも9.8。
「Zoho ManageEngine Patch Connect Plus 90099 未満」には、危険なタイプのファイルの無制限アップロードに関する脆弱性(CVE-2021-41833)が存在する。この脆弱性が悪用されると、情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされるなどの影響を受ける可能性がある。
「Zoho ManageEngine ADManager Plus 7115 未満」には、不特定の脆弱性(CVE-2021-42002)が存在する。この脆弱性が悪用されると、情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされるなどの影響を受ける可能性がある。
JVNでは、ベンダより正式な対策が公開されているため、ベンダ情報を参照して適切な対策を実施するよう呼びかけている。
