Pat0Is

**Nome do software vulnerável e versões afetadas** Zoho ManageEngine Desktop Central, versões 10.0.552.W e anteriores Zoho ManageEngine Remote Access Plus, versões anteriores à 10.1.2119.1 **Descrição** Uma falha de projeto no lado do cliente do software permite que um servidor controlado por um invasor force o cliente a ignorar a validação do certificado TLS. Isso pode levar a um ataque man-in-the-middle contra HTTPS e, potencialmente, resultar na execução remota de código não autenticada. **Recomendações** Para o Zoho ManageEngine Desktop Central versão 10.0.552.W, atualize para uma versão posterior à 10.0.552.W. Para o Zoho ManageEngine Remote Access Plus versões anteriores à 10.1.2119.1, atualize para a versão 10.1.2119.1 ou posterior.

**Nome do software vulnerável e versões afetadas** Zoho ManageEngine Desktop Central versão 10.0.0.SP-534 **Descrição** Uma falha no lado do cliente do software permite que um servidor controlado por um invasor provoque um estouro de inteiro nas funções `InternetSendRequestEx` e `InternetSendRequestByBitrate`, levando a um estouro de buffer baseado em heap e à execução remota de código com privilégios de SISTEMA. **Recomendações** Para o Zoho ManageEngine Desktop Central versão 10.0.0.SP-534, considere desativar as funções `InternetSendRequestEx` e `InternetSendRequestByBitrate` como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao lado do cliente do software para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Zoho ManageEngine Desktop Central versão 10.0.552.W **Descrição** Uma falha no lado do cliente do software permite que um servidor controlado por um invasor provoque um estouro de inteiro nas funções `InternetSendRequestEx` e `InternetSendRequestByBitrate`, levando a um estouro de buffer baseado em heap e à execução remota de código com privilégios de SISTEMA. Isso ocorre quando uma comunicação não confiável é iniciada com um servidor. **Recomendações** Para o Zoho ManageEngine Desktop Central versão 10.0.552.W, considere restringir a comunicação não confiável com servidores para minimizar o risco de exploração. Como solução alternativa temporária, certifique-se de que os agentes se conectem apenas por meio de comunicação confiável. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.