微软修复已遭活跃利用的漏洞
2024-12-2 18:6:0 Author: mp.weixin.qq.com(查看原文) 阅读量:14 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

微软修复了位于AI、云、企业资源规划和Partner Center 服务中的四个漏洞,其中一个已遭在野利用。

该已被“检测到遭利用”的漏洞是CVE-2024-49035(CVSS评分8.7),是位于partner.microsoft[.]com 中的一个提权漏洞。微软在安全公告中提到,该漏洞是访问控制不当漏洞,可“导致未认证攻击者提升权限”。微软表示该漏洞由 Gautam Peri、Apoorv Wadhwa 以及一名匿名安全研究员发现并报送,但并未透露实际利用的具体详情。

微软正在自动漏洞修复方案,是微软 Power Apps 在线版本更新的一部分。微软还修复了其它三个漏洞,其中两个是“严重”级别,另外一个是“重要”级别。

  • CVE-2024-49038(CVSS评分9.3):位于 Copilot Studio 中的XSS漏洞,可导致未认证攻击者在网络提升权限。

  • CVE-2024-49052(CVSS评分8.2):位于微软 Azure PolicyWatch 中的关键函数认证缺失漏洞,可导致越权攻击者在网络提升权限。

  • CVE-2024-49053(CVSS评分7.6):位于微软 Dynamics 365 Sales 中的欺骗漏洞,可导致认证攻击者诱骗用户点击特殊构造的 URL 并可能将受害者重定向至恶意站点。

虽然多数漏洞已得到完全缓解且无需用户操作,但建议用户将 Dynamics 365 Sales app(安卓和 iOS)更新至最新版本3.24104.15,以缓解CVE-2024-49053造成的风险。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com


推荐阅读

微软11月补丁星期二值得关注的漏洞

微软SQL服务器漏洞被用于攻击承包商软件

微软发现罗克韦尔自动化 PanelView Plus 中存在两个严重漏洞

CISA称微软 SharePoint RCE 漏洞已遭在野利用

微软称 SysAid IT 支持软件 0day 遭利用

原文链接

https://thehackernews.com/2024/11/microsoft-fixes-ai-cloud-and-erp.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247521645&idx=1&sn=6b419fc6a9985c4a220c5fd4596e4d3e&chksm=ea94a407dde32d117f4af2c69d432603462a5c5f07564a4197cbec9f18e001180b3fde0d2377&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh