Salı günü ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) yerleştirilmiş Microsoft Partner Center ve Synacor Zimbra İşbirliği Suite’i (ZCS) etkileyen iki güvenlik kusuru, bilinen sömürülen güvenlik açıklarına (Kev) aktif sömürü kanıtlarına dayanarak katalog.
Söz konusu güvenlik açıkları aşağıdaki gibidir –
- CVE-2024-49035 (CVSS Puanı: 8.7) – Microsoft Ortak Merkezi’nde bir saldırganın ayrıcalıkları artırmasına izin veren yanlış erişim kontrolü güvenlik açığı. (Kasım 2024’te düzeltildi)
- CVE-2023-34192 (CVSS Puanı: 9.0) – Synacor ZC’lerde, uzaktan kimlik doğrulamalı bir saldırganın /H /AutoSavedraft işlevine hazırlanmış bir komut dosyası aracılığıyla keyfi kod yürütmesine izin veren bir siteler arası komut dosyası (XSS) güvenlik açığı. (Sabit Temmuz 2023 sürüm 8.8.15 Yama 40 ile)
Geçen yıl Microsoft, CVE-2024-49035’in vahşi doğada sömürüldüğünü, ancak gerçek dünya saldırılarında nasıl silahlandırıldığına dair herhangi bir ek ayrıntı ortaya koymadığını kabul etti. Şu anda CVE-2023-34192’nin vahşi kötüye kullanımı hakkında kamuoyu raporu yok.
Kalkınma ışığında, Federal Sivil Yürütme Şubesi (FCEB) ajansları, ağlarını güvence altına almak için 18 Mart 2025’e kadar gerekli güncellemeleri uygulama zorunluluğuna tabi tutulur.
Geliştirme, CISA’nın aktif sömürü kanıtlarına dayanarak, bilinen sömürülen güvenlik açıklarına (KEV) kataloğuna Adobe Coldfusion ve Oracle Agile Ürün Yaşam Döngüsü Yönetimi’ni (PLM) etkileyen iki güvenlik kusuru eklemesinden bir gün sonra geliyor.
