CISA将Twilio Authy和IE漏洞添加到已利用漏洞列表中

阅读量62408

发布时间 : 2024-07-25 15:06:20

x
译文声明

本文是翻译文章,文章原作者 Newsroom,文章来源:The Hacker News

原文地址:https://thehackernews.com/2024/07/cisa-adds-twilio-authy-and-ie-flaws-to.html

译文仅供参考,具体内容表达以及含义原文为准。

美国网络安全和基础设施安全局 (CISA) 根据主动利用的证据,在其已知利用漏洞 (KEV) 目录中添加了两个安全漏洞。

下面列出了这些漏洞 –

  • CVE-2012-4792 (CVSS 分数: 9.3) – Microsoft Internet Explorer 释放后使用漏洞
  • CVE-2024-39891 (CVSS 分数:5.3) – Twilio Authy 信息泄露漏洞CVE-2024-39891 (CVSS score: 5.3) – Twilio Authy Information Disclosure Vulnerability

CVE-2012-4792 是 Internet Explorer 中一个已有十年历史的释放后使用漏洞,可能允许远程攻击者通过特别构建的站点执行任意代码。

目前尚不清楚该漏洞是否已经再次遭到利用尝试,尽管它在2012年12月针对外交关系委员会(CFR)和Capstone Turbine Corporation网站的水坑攻击中被滥用。

另一方面,CVE-2024-39891 指的是未经身份验证的端点中的信息泄露漏洞,该漏洞可用于“接受包含电话号码的请求并响应有关电话号码是否已在 Authy 注册的信息”。

本月早些时候,Twilio 表示,在未识别的威胁行为者利用这一缺点识别与 Authy 帐户关联的数据后,它在版本 25.1.0 (Android) 和 26.1.0 (iOS) 中解决了这个问题。

“这些类型的漏洞是恶意网络行为者的常见攻击媒介,并对联邦企业构成重大风险,”CISA在一份公告中表示。

联邦文职行政部门 (FCEB) 机构必须在 2024 年 8 月 13 日之前修复已识别的漏洞,以保护其网络免受主动威胁。

本文翻译自The Hacker News 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66