La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) colocó el martes dos defectos de seguridad que impactaron el Centro de Microsoft Partner Center y Synacor Zimbra Collaboration (ZCS) a su catálogo de vulnerabilidades explotadas (KEV) conocidas, basado en evidencia de explotación activa.
Las vulnerabilidades en cuestión son las siguientes
- CVE-2024-49035 (Puntuación CVSS: 8.7): una vulnerabilidad inadecuada de control de llegada en el Centro de Partidos de Microsoft que permite a un atacante aumentar los privilegios. (Fijado en noviembre de 2024)
- CVE-2023-34192 (Puntuación CVSS: 9.0): una vulnerabilidad de secuencias de comandos de sitios cruzados (XSS) en Synacor ZCS que permite que un atacante autenticado remoto ejecute código parcial a través de un script diseñado a la función /h /autosavedraft. (Se solucionó en julio de 2023 con la lectura 8.8.15 parche 40)
El año pasado, Microsoft reconoció que CVE-2024-49035 había sido explotado en la naturaleza, pero no reveló ningún detalle adicional sobre cómo se armó en los ataques del mundo existente. Actualmente no hay informes públicos sobre el demasía en la reducción de CVE-2023-34192.
A la luz del avance, las agencias federales de rama ejecutiva civil (FCEB) tienen el mandato de aplicar las actualizaciones necesarias antaño del 18 de marzo de 2025 para apuntalar sus redes.
El avance se produce un día luego de que CISA agregó dos defectos de seguridad que afectan el Adobe Coldfusion y la Mandato del Ciclo de Vida del Producto Agile Oracle (PLM) a su conocido catálogo de vulnerabilidades explotadas (KEV), basado en evidencia de explotación activa.
