26 février 2025Ravie LakshmananSécurité / vulnérabilité de l’entreprise

L’Agence américaine de sécurité de la cybersécurité et des infrastructures (CISA) mis Deux défauts de sécurité ayant un impact sur Microsoft Partner Center et Synacor Zimbra Collaboration Suite (ZCS) à ses vulnérabilités exploitées connues (Kev) Catalogue, basé sur des preuves d’exploitation active.

Les vulnérabilités en question sont les suivantes –

  • CVE-2024-49035 (CVSS Score: 8.7) – Une vulnérabilité de contrôle d’accès incorrect dans Microsoft Partner Center qui permet à un attaquant de dégénérer les privilèges. (Fixé en novembre 2024)
  • CVE-2023-34192 (Score CVSS: 9.0) – Une vulnérabilité de script de sites croisées (XSS) dans Synacor ZCS qui permet à un attaquant authentifié distant d’exécuter du code arbitraire via un script fabriqué à la fonction / h / autosaverafre. (Fixé dans Juillet 2023 avec la version 8.8.15 Patch 40)
Cybersécurité

L’année dernière, Microsoft a reconnu que le CVE-2024-49035 avait été exploité dans la nature, mais n’a révélé aucun détail supplémentaire sur la façon dont il a été armé dans des attaques réelles. Il n’y a actuellement aucun rapport public sur les abus intégrés du CVE-2023-34192.

À la lumière du développement, les agences fédérales de direction civile (FCEB) sont mandatées pour appliquer les mises à jour nécessaires d’ici le 18 mars 2025 pour sécuriser leurs réseaux.

Le développement survient un jour après que la CISA a ajouté deux défauts de sécurité ayant un impact sur la gestion du cycle de vie des produits Adobe Coldfusion et Oracle Agile (PLM) à son catalogue connu vulnérabilités exploitées (KEV), sur la base de preuves d’exploitation active.

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57