Mô tả lỗ hổng: Lỗ hổng CVE-2025-1723 có độ nghiêm trọng cao trong ADSelfService Plus của Zoho cho phép những người dùng có tài khoản hợp lệ có thể khai thác các điểm yếu trong việc xử lý phiên, dẫn đến việc chiếm đoạt tài khoản. Lỗi này xảy ra do việc xử lý phiên không đúng cách, có thể dẫn đến việc người dùng hợp lệ truy cập trái phép thông tin nhạy cảm và có khả năng chiếm quyền điều khiển tài khoản người dùng trong hệ thống ADSelfService Plus.
Các phiên bản bị ảnh hưởng: Lỗ hổng này ảnh hưởng đến các phiên bản ADSelfService Plus 6510 và trước đó.
Độ nghiêm trọng: Điểm CVSS cho lỗ hổng này là 8.1, cho thấy có ảnh hưởng cao đến tính bảo mật và toàn vẹn.
Chiến lược giảm thiểu: Để giảm thiểu lỗ hổng này, các tổ chức nên:
- Cập nhật ngay lập tức lên phiên bản mới nhất của ADSelfService Plus.
- Áp dụng các biện pháp kiểm soát truy cập nghiêm ngặt.
- Theo dõi các nhật ký xác thực để phát hiện các hoạt động đáng ngờ.
- Tạm thời hạn chế quyền truy cập mạng vào ứng dụng bị tổn thương nếu việc vá lỗi bị trì hoãn.
- Thực thi xác thực nhiều yếu tố mạnh mẽ.
Thông tin về bản vá: Zoho đã phát hành một bản cập nhật bảo mật để khắc phục lỗ hổng này. Người dùng được khuyến cáo nên cập nhật lên phiên bản mới nhất, đặc biệt là bản xây dựng 6511 hoặc mới hơn.
Thật quan trọng cho các tổ chức đang sử dụng ADSelfService Plus cập nhật hệ thống của họ lên phiên bản mới nhất để ngăn chặn các cuộc tấn công chiếm đoạt tài khoản tiềm ẩn.
