A Agência de Segurança da Cibersegurança e Infraestrutura dos EUA (CISA) na terça-feira adicionou duas falhas de segurança que afetam o Microsoft Partner Center e a Synacor Zimbra Collaboration Suite (ZCS) ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), com base em evidências de exploração ativa.
As vulnerabilidades em questão são:
CVE-2024-49035 (pontuação CVSS: 8.7) - Uma vulnerabilidade de controle de acesso inadequado no Microsoft Partner Center, que permite a um atacante escalar privilégios.
(Corrigida em novembro de 2024)
CVE-2023-34192
(pontuação CVSS: 9.0) - Uma vulnerabilidade de cross-site scripting (XSS) no Synacor ZCS que permite a um atacante autenticado remotamente executar código arbitrário através de um script especialmente criado para a função /h/autoSaveDraft.
(Corrigida em julho de 2023 com a versão 8.8.15 Patch 40)
No ano passado, a Microsoft reconheceu que o CVE-2024-49035 havia sido explorado no ambiente real, mas não revelou detalhes adicionais sobre como foi utilizado em ataques práticos.
Atualmente, não há relatórios públicos de abuso no ambiente real do
CVE-2023-34192
.
À luz deste desenvolvimento, as agências da Executiva Federal Civil (FCEB) são obrigadas a aplicar as atualizações necessárias até 18 de março de 2025, para proteger suas redes.
Este desenvolvimento ocorre um dia após a CISA adicionar duas falhas de segurança que impactam o Adobe ColdFusion e o Oracle Agile Product Lifecycle Management (PLM) ao seu catálogo KEV, com base em evidências de exploração ativa.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...