Zoho ManageEngine in Known Exploited Vulnerabilities (K.E.V.) Catalog on 2022-09-22

CVE-2022-35405    Zoho    ManageEngine

Zoho ManageEngine Multiple Products Remote Code Execution Vulnerability

Zoho ManageEngine 複数製品におけるリモートコード実行の脆弱性           

Added in Known Exploited Vulnerabilities (K.E.V.) Catalog on 2022-09-22   
Zoho ManageEngine PAM360, Password Manager Pro, and Access Manager Plus contain an unspecified vulnerability which allows for remote code execution.

Zoho ManageEngine PAM360, Password Manager Pro, Access Manager Plus には、リモートでコードを実行される可能性のある未修正の脆弱性が存在します。

Apply updates per vendor instructions by 2022-10-13.

2022-10-13までに、ベンダーの指示に従いアップデートを適用してください。

https://www.manageengine.com/products/passwordmanagerpro/advisory/cve-2022-35405.html

FYI, Wikipedia says ...

Zoho Corporation is an Indian multinational technology company that makes web-based business tools. It is best known for the online office suite offering Zoho Office Suite. The company was founded in 1996 by Sridhar Vembu and Tony Thomas and has a presence in seven locations with global headquarters in Chennai, Tamil Nadu, India, and corporate headquarters outside of Austin in Del Valle, Texas. Radha Vembu, Sridhar Vembu's sister, owns a majority stake in the company.
- Revenue ₹5,230 crore (US$650 million) (FY2021)
- Net income ₹1,918 crore (US$240 million) (FY2021)

Zoho Corporationは、Webベースのビジネスツールを製造するインドの多国籍テクノロジー企業です。オンラインオフィススイートを提供するZoho Office Suiteで最もよく知られています。同社は1996年にSridhar VembuとTony Thomasによって設立され、インドのタミルナドゥ州チェンナイにグローバル本社、テキサス州デルバレーのオースティン郊外に本社を置き、7カ所で事業展開しています。Sridhar Vembuの姉であるRadha Vembuが同社の株式の過半数を所有しています。
・売上高 ₹5,230百万ドル（650百万米ドル） （2021年3月期）
・純利益 ₹1,918 crore (US$240 million) (2021年3月期)

Zoho JAPAN Corp.           ゾーホージャパン
種類       株式会社
非公開会社
事業内容             自社開発ソフトウェア製品の販売、付帯するコンサルティングサービス、保守サービスの提供
資本金   9,000万円
従業員数             89名

Taro's note:

Probably due to its popularity, there have been added other 3 vulnerabilities in Known Exploited Vulnerabilities (K.E.V.) Catalog as shown below. Please also verify if you've corresponded.

その人気の高さからか、この他にも以下のような3つの脆弱性が既に悪用されている脆弱性リストに挙がっています。

CVE-2021-40539    Zoho    ManageEngine ADSelfServicePlus

Zoho Corp. ManageEngine ADSelfService Plus Version 6113 and Earlier Authentication Bypass
Added in K.E.V. Catalog on 2021-11-03
Zoho ManageEngine ADSelfService Plus versions 6113 and earlier contain an authentication bypass vulnerability which allows for Remote Code Execution.

Zoho ManageEngine ADSelfService Plus バージョン 6113 およびそれ以前のバージョンには、認証回避の脆弱性があり、リモートでコードが実行される可能性があります。

Apply updates per vendor instructions by 2021-11-17.
 

CVE-2020-10189    Zoho    ManageEngine Desktop Central

Zoho ManageEngine Desktop Central Remote Code Execution Vulnerability
Added in K.E.V. Catalog on 2021-11-03
Zoho ManageEngine Desktop Central before 10.0.474 allows remote code execution because of deserialization of untrusted data in getChartImage in the FileStorage class. This is related to the CewolfServlet and MDMLogUploaderServlet servlets.      

10.0.474 以前の Zoho ManageEngine Desktop Central では、FileStorage クラスの getChartImage で信頼されていないデータをデシリアライズするため、リモートでコードが実行される可能性がありました。これは、CewolfServlet および MDMLogUploaderServlet サーブレットに関連するものです。

Apply updates per vendor instructions by 2022-05-03.
 

CVE-2019-8394    Zoho    ManageEngine ServiceDesk Plus (SDP)

Zoho ManageEngine ServiceDesk Plus Arbitrary File Upload Vulnerability
Added in K.E.V. Catalog on 2021-11-03
Zoho ManageEngine ServiceDesk Plus (SDP) before 10.0 build 10012 allows remote attackers to upload arbitrary files via login page customization.

Zoho ManageEngine ServiceDesk Plus (SDP) 10.0 build 10012 より前のバージョンでは、リモートの攻撃者がログインページのカスタマイズを介して任意のファイルをアップロードすることができます。

Apply updates per vendor instructions by 2022-05-03.
 

CVE-2022-3236    Sophos  Firewall    Sophos Firewall Code Injection Vulnerability

It's another CVE added in the catalog on 09/22. 

Refer to my past article.