Zoho corrige falha de segurança no ADSelfService Plus

A Zoho Corporation divulgou um alerta de segurança abordando uma falha crítica de aquisição de conta em sua solução de gestão de identidade ADSelfService Plus. A falha, identificada como CVE-2025-1723, pode possibilitar o acesso não autorizado aos dados de registro de usuários quando a autenticação multifator (MFA) não está ativada para login no ADSelfService Plus.

“CVE-2025-1723 descreve uma falha resultante do tratamento inadequado da sessão no ADSelfService Plus, que pode permitir o acesso não autorizado aos dados de registro do usuário quando o MFA não está habilitado para o login no ADSelfService Plus”, explica o aviso.

A falha é originada de um gerenciamento inadequado de sessões, expondo potencialmente informações sensíveis e permitindo que invasores sequestren contas. A Zoho confirmou que o problema foi solucionado na versão 6511 do ADSelfService Plus.

“Este problema foi corrigido na versão 6511 do ADSelfService Plus, garantindo que os dados de registro sejam acessíveis apenas ao usuário cuja sessão está validada no momento”, detalha a Zoho.

Leia também

A Zoho recomenda que todos os usuários do ADSelfService Plus atualizem suas instâncias para a compilação 6511 ou superior sem demora. A atualização pode ser aplicada utilizando o pacote de serviço mais recente.

Essa falha sublinha a importância de ativar o MFA para todos os sistemas e aplicativos sensíveis. O MFA adiciona uma camada extra de proteção, tornando consideravelmente mais difícil para os invasores obterem acesso não autorizado, mesmo que consigam obter credenciais do usuário.

A Zoho reconhece Weston, um pesquisador de segurança participante do programa Zoho BugBounty, pela descoberta e reporte da vulnerabilidade. Isso evidencia a importância dos programas de recompensas por falhas na identificação e mitigação de riscos de segurança.

Os usuários do ADSelfService Plus são fortemente aconselhados a priorizar a atualização de seus sistemas para a versão mais recente, a fim de proteger contra invasões de contas e garantir a segurança dos dados sensíveis dos usuários.