Martedì la US Cybersecurity and Infrastructure Safety Company (CISA) collocato Due difetti di sicurezza che incidono sul Microsoft Accomplice Heart e Synacor Zimbra Collaboration Suite (ZCS) alle sue vulnerabilità sfruttate be aware (Kev) Catalogo, basato sull’evidenza di sfruttamento attivo.
Le vulnerabilità in questione sono le seguenti –
- CVE-2024-49035 (Punteggio CVSS: 8.7) – Una vulnerabilità di controllo dell’accesso improprio nel centro companion Microsoft che consente a un utente malintenzionato di intensificare i privilegi. (Risolto in Novembre 2024)
- CVE-2023-34192 (Punteggio CVSS: 9.0) – Una vulnerabilità di script trami (XSS) in SynaCor ZCS che consente a un utente malintenzionato remoto di eseguire il codice arbitrario tramite uno script realizzato nella funzione /H /AutosaveDraft. (Risolto in Luglio 2023 Con versione 8.8.15 patch 40)
L’anno scorso, Microsoft ha riconosciuto che la CVE-2024-49035 period stata sfruttata in natura, ma non ha rivelato ulteriori dettagli su come è stato armato negli attacchi del mondo reale. Al momento non ci sono rapporti pubblici sull’abuso in tutto il mondo di CVE-2023-34192.
Alla luce dello sviluppo, le agenzie Federal Civil Government Department (FCEB) sono incaricate di applicare gli aggiornamenti necessari entro il 18 marzo 2025, per garantire le loro reti.
Lo sviluppo arriva il giorno dopo la CISA aggiunto Due difetti di sicurezza che incidono su Adobe Coldfusion e Oracle Agile Product Lifecycle Administration (PLM) al suo catalogo di vulnerabilità sfruttate (KEV) noto, basato sull’evidenza di sfruttamento attivo.
