L’Agence américaine de sécurité de la cybersécurité et des infrastructures (CISA) mis Deux défauts de sécurité ayant un impact sur Microsoft Partner Center et Synacor Zimbra Collaboration Suite (ZCS) à ses vulnérabilités exploitées connues (Kev) Catalogue, basé sur des preuves d’exploitation active.
Les vulnérabilités en question sont les suivantes –
- CVE-2024-49035 (CVSS Score: 8.7) – Une vulnérabilité de contrôle d’accès incorrect dans Microsoft Partner Center qui permet à un attaquant de dégénérer les privilèges. (Fixé en novembre 2024)
- CVE-2023-34192 (Score CVSS: 9.0) – Une vulnérabilité de script de sites croisées (XSS) dans Synacor ZCS qui permet à un attaquant authentifié distant d’exécuter du code arbitraire via un script fabriqué à la fonction / h / autosaverafre. (Fixé dans Juillet 2023 avec la version 8.8.15 Patch 40)
L’année dernière, Microsoft a reconnu que le CVE-2024-49035 avait été exploité dans la nature, mais n’a révélé aucun détail supplémentaire sur la façon dont il a été armé dans des attaques réelles. Il n’y a actuellement aucun rapport public sur les abus intégrés du CVE-2023-34192.
À la lumière du développement, les agences fédérales de direction civile (FCEB) sont mandatées pour appliquer les mises à jour nécessaires d’ici le 18 mars 2025 pour sécuriser leurs réseaux.
Le développement survient un jour après que la CISA a ajouté deux défauts de sécurité ayant un impact sur la gestion du cycle de vie des produits Adobe Coldfusion et Oracle Agile (PLM) à son catalogue connu vulnérabilités exploitées (KEV), sur la base de preuves d’exploitation active.


