该已被“检测到遭利用”的漏洞是CVE-2024-49035(CVSS评分8.7),是位于partner.microsoft[.]com 中的一个提权漏洞。微软在安全公告中提到,该漏洞是访问控制不当漏洞,可“导致未认证攻击者提升权限”。微软表示该漏洞由 Gautam Peri、Apoorv Wadhwa 以及一名匿名安全研究员发现并报送,但并未透露实际利用的具体详情。 微软正在自动漏洞修复方案,是微软 Power Apps 在线版本更新的一部分。微软还修复了其它三个漏洞,其中两个是“严重”级别,另外一个是“重要”级别。 CVE-2024-49038(CVSS评分9.3):位于 Copilot Studio 中的XSS漏洞,可导致未认证攻击者在网络提升权限。 CVE-2024-49052(CVSS评分8.2):位于微软 Azure PolicyWatch 中的关键函数认证缺失漏洞,可导致越权攻击者在网络提升权限。 CVE-2024-49053(CVSS评分7.6):位于微软 Dynamics 365 Sales 中的欺骗漏洞,可导致认证攻击者诱骗用户点击特殊构造的 URL 并可能将受害者重定向至恶意站点。 虽然多数漏洞已得到完全缓解且无需用户操作,但建议用户将 Dynamics 365 Sales app(安卓和 iOS)更新至最新版本3.24104.15,以缓解CVE-2024-49053造成的风险。 原文链接
https://thehackernews.com/2024/11/microsoft-fixes-ai-cloud-and-erp.html
原文始发于微信公众号(代码卫士):微软修复已遭活跃利用的漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论