聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该已被“检测到遭利用”的漏洞是CVE-2024-49035(CVSS评分8.7),是位于partner.microsoft[.]com 中的一个提权漏洞。微软在安全公告中提到,该漏洞是访问控制不当漏洞,可“导致未认证攻击者提升权限”。微软表示该漏洞由 Gautam Peri、Apoorv Wadhwa 以及一名匿名安全研究员发现并报送,但并未透露实际利用的具体详情。
微软正在自动漏洞修复方案,是微软 Power Apps 在线版本更新的一部分。微软还修复了其它三个漏洞,其中两个是“严重”级别,另外一个是“重要”级别。
CVE-2024-49038(CVSS评分9.3):位于 Copilot Studio 中的XSS漏洞,可导致未认证攻击者在网络提升权限。
CVE-2024-49052(CVSS评分8.2):位于微软 Azure PolicyWatch 中的关键函数认证缺失漏洞,可导致越权攻击者在网络提升权限。
CVE-2024-49053(CVSS评分7.6):位于微软 Dynamics 365 Sales 中的欺骗漏洞,可导致认证攻击者诱骗用户点击特殊构造的 URL 并可能将受害者重定向至恶意站点。
虽然多数漏洞已得到完全缓解且无需用户操作,但建议用户将 Dynamics 365 Sales app(安卓和 iOS)更新至最新版本3.24104.15,以缓解CVE-2024-49053造成的风险。
微软发现罗克韦尔自动化 PanelView Plus 中存在两个严重漏洞
https://thehackernews.com/2024/11/microsoft-fixes-ai-cloud-and-erp.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
如有侵权请联系:admin#unsafe.sh