La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) colocó el martes dos defectos de seguridad que impactaron el Centro de Microsoft Partner Center y Synacor Zimbra Collaboration (ZCS) a su catálogo de vulnerabilidades explotadas (KEV) conocidas, basado en evidencia de explotación activa.
Las vulnerabilidades en cuestión son las siguientes
- CVE-2024-49035 (Puntuación CVSS: 8.7): una vulnerabilidad inadecuada de control de acceso en el Centro de Partidos de Microsoft que permite a un atacante aumentar los privilegios. (Fijado en noviembre de 2024)
- CVE-2023-34192 (Puntuación CVSS: 9.0): una vulnerabilidad de secuencias de comandos de sitios cruzados (XSS) en Synacor ZCS que permite que un atacante autenticado remoto ejecute código arbitrario a través de un script diseñado a la función /h /autosavedraft. (Se solucionó en julio de 2023 con la versión 8.8.15 parche 40)
El año pasado, Microsoft reconoció que CVE-2024-49035 había sido explotado en la naturaleza, pero no reveló ningún detalle adicional sobre cómo se armó en los ataques del mundo real. Actualmente no hay informes públicos sobre el abuso en la reducción de CVE-2023-34192.
A la luz del desarrollo, las agencias federales de rama ejecutiva civil (FCEB) tienen el mandato de aplicar las actualizaciones necesarias antes del 18 de marzo de 2025 para asegurar sus redes.
El desarrollo se produce un día después de que CISA agregó dos defectos de seguridad que afectan el Adobe Coldfusion y la Gestión del Ciclo de Vida del Producto Agile Oracle (PLM) a su conocido catálogo de vulnerabilidades explotadas (KEV), basado en evidencia de explotación activa.