微软修复已遭活跃利用的漏洞

admin 2024年12月2日22:36:28评论13 views字数 736阅读2分27秒阅读模式

微软修复了位于AI、云、企业资源规划和Partner Center 服务中的四个漏洞,其中一个已遭在野利用。

该已被“检测到遭利用”的漏洞是CVE-2024-49035(CVSS评分8.7),是位于partner.microsoft[.]com 中的一个提权漏洞。微软在安全公告中提到,该漏洞是访问控制不当漏洞,可“导致未认证攻击者提升权限”。微软表示该漏洞由 Gautam Peri、Apoorv Wadhwa 以及一名匿名安全研究员发现并报送,但并未透露实际利用的具体详情。

微软正在自动漏洞修复方案,是微软 Power Apps 在线版本更新的一部分。微软还修复了其它三个漏洞,其中两个是“严重”级别,另外一个是“重要”级别。

  • CVE-2024-49038(CVSS评分9.3):位于 Copilot Studio 中的XSS漏洞,可导致未认证攻击者在网络提升权限

  • CVE-2024-49052(CVSS评分8.2):位于微软 Azure PolicyWatch 中的关键函数认证缺失漏洞,可导致越权攻击者在网络提升权限。

  • CVE-2024-49053(CVSS评分7.6):位于微软 Dynamics 365 Sales 中的欺骗漏洞,可导致认证攻击者诱骗用户点击特殊构造的 URL 并可能将受害者重定向至恶意站点。

虽然多数漏洞已得到完全缓解且无需用户操作,但建议用户将 Dynamics 365 Sales app(安卓和 iOS)更新至最新版本3.24104.15,以缓解CVE-2024-49053造成的风险。

原文链接

https://thehackernews.com/2024/11/microsoft-fixes-ai-cloud-and-erp.html

原文始发于微信公众号(代码卫士):微软修复已遭活跃利用的漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月2日22:36:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   微软修复已遭活跃利用的漏洞https://cn-sec.com/archives/3460466.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息