CVE-2021-42954

Versões binárias do Zoho Remote Access Plus Server para Windows Desktop anteriores à 10.1.2121.1

O problema está relacionado a um controle de acesso incorreto, em que o diretório de instalação possui permissões de arquivo fracas, permitindo controle total para o grupo de usuários “Everyone” do Windows. Isso inclui usuários não administradores e convidados, o que pode levar à escalada de privilégios, redefinição não autorizada de senha, roubo de dados confidenciais, acesso a credenciais em texto simples, acesso a valores do Registro e adulteração de arquivos de configuração.

Para versões anteriores à 10.1.2121.1, atualize para a versão 10.1.2121.1 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao diretório de instalação para impedir o acesso não autorizado até que um patch seja aplicado. Restrinja o acesso a dados confidenciais e credenciais para minimizar o risco de exploração.