Ssylka

Опасные уязвимости Microsoft и Zimbra

Недавно Управление кибербезопасности инфраструктуры США (CISA) обновило свой каталог известных эксплуатируемых уязвимостей, добавив два новых дефекта безопасности, находящихся в стадии активной эксплуатации. Данный шаг основывается на веских доказательствах использования уязвимостей злоумышленниками.
Опасные уязвимости Microsoft и Zimbra
Изображение носит иллюстративный характер

Первая из обнаруженных проблем касалась платформы Microsoft Partner Center. Неверное управление доступом позволило злоумышленникам получать несанкционированное повышение привилегий, что существенно увеличивает риск компрометации систем. Проблема была устранена еще в ноябре 2024 года.

Отдельно стоит отметить, что ранее Microsoft сообщала об эксплуатации другой уязвимости (CVE-2024-49035), однако сведения об этой проблеме не связаны с текущим дефектом в Partner Center. Указание на прошлые случаи свидетельствует о продолжающихся сложностях в защите корпоративных сервисов.

Второй дефект обнаружен в Synacor Zimbra Collaboration Suite. Уязвимость (CVE-2023-34192) представляет собой уязвимость межсайтового скриптинга, позволяющую удаленному аутентифицированному пользователю выполнить произвольный код. Атака осуществляется посредством специально сформированного скрипта, воздействующего на функцию /h/autoSaveDraft.

Степень критичности данной уязвимости подтверждается оценкой CVSS в 9.0, что свидетельствует о высокой потенциальной опасности для систем. Проблема была оперативно исправлена в июле 2023 года, выпущена версия 8.8.15 Patch 40, хотя на данный момент не зафиксированы случаи эксплуатации в реальных условиях.

Обновление каталога CISA сопровождается мерами по усилению безопасности не только корпоративных структур, но и государственных учреждений. Дополнительное внимание следует уделять своевременной установке патчей и обновлений для минимизации рисков.

Подобное обновление каталога стало логичным продолжением недавних мер CISA, когда ранее в агентство были включены уязвимости, затрагивающие Adobe ColdFusion и Oracle Agile Product Lifecycle Management. Поступательное усиление контроля за эксплуатируемыми дефектами значительно повышает уровень защиты критических систем.

Федеральные агентства гражданского исполнительного ведомства обязаны выполнить установку необходимых обновлений до 18 марта 2025 года, чтобы обеспечить надежную защиту сетей перед угрозами, связанными с активной эксплуатацией обнаруженных уязвимостей.


Новое на сайте

15287Жидкость, восстанавливающая форму: нарушение законов термодинамики 15286Аркадия ведьм: загадка Чарльза годфри Леланда и её влияние на современную магию 15285Кто станет новым героем Звёздных войн в 2027 году? 15283Ануше Ансари | Почему космические исследования важны для Земли 15282Гизем Гумбуская | Синтетический морфогенез: самоконструирующиеся живые архитектуры по... 15281Как предпринимателю остаться хозяином своей судьбы? 15280Люси: путешествие к древним обломкам солнечной системы 15279Роберт Лиллис: извлеченные уроки для экономически эффективных исследований дальнего... 15278Почему супермен до сих пор остаётся символом надежды и морали? 15277Райан Гослинг в роли нового героя «Звёздных войн»: что известно о фильме Star Wars:... 15276Почему экваториальная Гвинея остаётся одной из самых закрытых и жестоких диктатур мира? 15275Почему морские слизни становятся ярче под солнцем? 15274Глен Вейль | Можем ли мы использовать ИИ для построения более справедливого общества? 15273Лириды: где и как увидеть древний звездопад в этом апреле? 15272Сдержит ли налог на однодневных туристов в Венеции наплыв гостей?