Ciberseguridad 360 | CISA añade vulnerabilidades de Microsoft y Zimbra al catálogo KEV debido a explotación activa.

La Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) incluy� el martes dos fallos de seguridad que afectan a Microsoft Partner Center y Synacor Zimbra Collaboration Suite (ZCS) en su cat�logo de Vulnerabilidades Explotadas Conocidas (KEV), bas�ndose en pruebas de explotaci�n activa.

Las vulnerabilidades en cuesti�n son las siguientes:

CVE-2024-49035 (puntuaci�n CVSS: 8,7) - Una vulnerabilidad de control de acceso inadecuado en Microsoft Partner Center que permite a un atacante escalar privilegios. (Corregida en noviembre de 2024).

CVE-2023-34192 (puntuaci�n CVSS: 9,0) - Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en Synacor ZCS que permite a un atacante remoto autenticado ejecutar c�digo arbitrario a trav�s de un script elaborado en la funci�n /h/autoSaveDraft. (Corregido en julio de 2023 con la versi�n 8.8.15 Parche 40)

El a�o pasado, Microsoft reconoci� que la CVE-2024-49035 hab�a sido explotada in-the-wild, pero no revel� ning�n detalle adicional sobre c�mo fue utilizada como arma en ataques del mundo real. En la actualidad no hay informes p�blicos sobre el uso indebido de CVE-2023-34192.

En vista de ello, los organismos del Poder Ejecutivo Civil Federal (FCEB) tienen la obligaci�n de aplicar las actualizaciones necesarias antes del 18 de marzo de 2025 para proteger sus redes.

El desarrollo se produce un d�a despu�s de que CISA a�adiera dos fallos de seguridad que afectan a Adobe ColdFusion y Oracle Agile Product Lifecycle Management (PLM) a su cat�logo de Vulnerabilidades Explotadas Conocidas (KEV), bas�ndose en pruebas de explotaci�n activa.

Fuente: thehackernews