CVE-2025-1723: Zoho Patches Account Takeover Vulnerability in ADSelfService Plus
2025/03/04 SecurityOnline — Zoho Corporation が発表したのは、ADSelfService Plus ID セキュリティ・ソリューションに存在し、アカウント乗っ取りの可能性のある、脆弱性に対処するセキュリティ・アドバイザリのリリースである。この脆弱性 CVE-2025-1723 の悪用に成功した攻撃者は、ADSelfService Plus ログインで MFA が有効化されていない場合に、ユーザー登録データへの不正アクセスの可能性を手にする。
このアドバイザリには、「この脆弱性 CVE-2025-1723 は、ADSelfService Plus でのセッションの不適切な処理により発生する。ADSelfService Plus ログインで MFA が有効化されていない場合に、この脆弱性により、ユーザー登録データへの不正アクセスが発生する恐れがある」と記されている。
この脆弱性は、不適切なセッション管理に起因するものであり、悪用の結果として、機密性の高いユーザー情報の漏洩や、攻撃者によるアカウント乗っ取りの可能性が生じる。 すでに Zoho は、ADSelfService Plus バージョン 6511 をリリースし、この問題の解決を確認している。
Zoho は、「ADSelfService Plus バージョン 6511 では、現時点で認証されているセッションのユーザーだけが、登録データにアクセスできるようにすることで、この問題は解決された」と述べている。
すべての ADSelfService Plus ユーザーに対して Zoho が強く推奨するのは、運用中のインスタンスを、build 6511 以降へと速やかに更新することだ。この更新は、最新のサービス・パックを介して適用できる。
この脆弱性が浮き彫りにするのは、すべての重要なシステムとアプリケーションにおける、MFA の有効化の重要性である。攻撃者がユーザーの資格情報を入手できたとしても、MFA によりセキュリティが強化されていれば、不正アクセスは遥かに困難になる。
この脆弱性を発見/報告したのは、Zoho BugBounty プログラムに参加している、セキュリティ研究者の Weston である。この研究者に対して、Zoho は謝意を述べている。この発見/報告のプロセスが示すのは、バグ・バウンティ・プログラムの意義であり、それによりセキュリティ・リスクを特定と軽減が推進されていく。
ADSelfService Plus のユーザーに対しては、最新バージョンへの更新を優先し、潜在的なアカウント乗っ取りを防ぎ、機密性の高いユーザー データを保護するよう、強く推奨する。
Zoho ADSelfService Plus の脆弱性が FIX しました。この脆弱性 CVE-2025-1723 は、ADSelfService Plus ログインで MFA が有効化されていない場合に悪用される可能性があるもので、NVD のページでは、CVSS 8.1 (深刻度 High) と評価されています。ご利用のチームは、迅速なアップデートを、ご検討ください。よろしければ、Zoho で検索も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.