La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó el martes cuatro defectos de seguridad a su conocido catálogo de vulnerabilidades explotadas (KEV), citando evidencia de explotación activa en la naturaleza.
La lista de vulnerabilidades es la siguiente –
- CVE-2024-45195 (Puntuación CVSS: 7.5/9.8): una vulnerabilidad de navegación forzada en Apache ofBiz que permite que un atacante remoto obtenga acceso no autorizado y ejecute código arbitrario en el servidor (fijado en septiembre de 2024)
- CVE-2024-29059 (Puntuación CVSS: 7.5): una vulnerabilidad de divulgación de información en el marco de Microsoft .NET que podría exponer el OBJREF URI y conducir a la ejecución de código remoto (fijado en marzo de 2024)
- CVE-2018-9276 (Puntuación CVSS: 7.2): una vulnerabilidad de inyección de comandos del sistema operativo en el monitor de red PAESSLER PRTG que permite que un atacante con privilegios administrativos ejecute comandos a través de la consola web del administrador del sistema PRTG (fijado en abril de 2018)
- CVE-2018-19410 (Puntuación CVSS: 9.8): una vulnerabilidad local de inclusión de archivos en el monitor de red PAESSLER PRTG que permite a un atacante remoto y no autenticado crear usuarios con privilegios de lectura -escritura (fijado en abril de 2018)
Aunque desde entonces estas deficiencias han sido abordadas por los respectivos proveedores, actualmente no hay informes públicos sobre cómo pueden haber sido explotados en ataques del mundo real.
Se ha instado a las agencias de la rama ejecutiva civil federal (FCEB) a aplicar las soluciones necesarias antes del 25 de febrero de 2025, para salvaguardar contra amenazas activas.