Microsoft 已经解决了影响其人工智能 (AI)、云、企业资源规划和合作伙伴中心产品的四个安全漏洞,其中一个漏洞表示已被广泛利用。
标记为“检测到漏洞利用”评估的漏洞是 CVE-2024-49035(CVSS 评分:8.7),这是 partner.microsoft 中的一个权限提升缺陷.com 的。
“partner.microsoft[.] 中的不当访问控制漏洞COM 允许未经身份验证的攻击者通过网络提升权限,“这家科技巨头在本周发布的一份公告中表示。
Microsoft 感谢 Gautam Peri、Apoorv Wadhwa 和一位匿名研究人员报告了该漏洞,但没有透露有关它在实际攻击中如何被利用的任何细节。
针对缺点的修复将作为 Microsoft Power Apps 在线版本更新的一部分自动推出。Redmond 还解决了其他三个漏洞,其中两个的严重性等级为“严重”,一个的严重性等级为“重要”:
-
CVE-2024-49038(CVSS 评分:9.3)- Copilot Studio 中的跨站点脚本 (XSS) 漏洞,可能允许未经授权的攻击者通过网络提升权限 -
CVE-2024-49052(CVSS 评分:8.2)- Microsoft Azure PolicyWatch 中缺少关键功能的身份验证,可能允许未经授权的攻击者通过网络提升权限 -
CVE-2024-49053(CVSS 评分:7.6)- Microsoft Dynamics 365 Sales 中的一个欺骗漏洞,可能允许经过身份验证的攻击者诱骗用户点击特制的 URL,并可能将受害者重定向到恶意站点
虽然大多数漏洞已完全缓解,无需用户操作,但建议将适用于 Android 和 iOS 的 Dynamics 365 Sales 应用程序更新到最新版本 (3.24104.15),以防止 CVE-2024-49053 的攻击。
|
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。 我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。 如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。  |
END
原文始发于微信公众号(信息安全大事件):Microsoft 修复 AI、云和 ERP 安全漏洞;一个在主动攻击中被利用
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论