美国网络安全和基础设施安全局 (CISA) 根据主动利用的证据,在其已知利用漏洞 (KEV) 目录中添加了两个安全漏洞。
下面列出了这些漏洞 –
- CVE-2012-4792 (CVSS 分数: 9.3) – Microsoft Internet Explorer 释放后使用漏洞
- CVE-2024-39891 (CVSS 分数:5.3) – Twilio Authy 信息泄露漏洞CVE-2024-39891 (CVSS score: 5.3) – Twilio Authy Information Disclosure Vulnerability
CVE-2012-4792 是 Internet Explorer 中一个已有十年历史的释放后使用漏洞,可能允许远程攻击者通过特别构建的站点执行任意代码。
目前尚不清楚该漏洞是否已经再次遭到利用尝试,尽管它在2012年12月针对外交关系委员会(CFR)和Capstone Turbine Corporation网站的水坑攻击中被滥用。
另一方面,CVE-2024-39891 指的是未经身份验证的端点中的信息泄露漏洞,该漏洞可用于“接受包含电话号码的请求并响应有关电话号码是否已在 Authy 注册的信息”。
本月早些时候,Twilio 表示,在未识别的威胁行为者利用这一缺点识别与 Authy 帐户关联的数据后,它在版本 25.1.0 (Android) 和 26.1.0 (iOS) 中解决了这个问题。
“这些类型的漏洞是恶意网络行为者的常见攻击媒介,并对联邦企业构成重大风险,”CISA在一份公告中表示。
联邦文职行政部门 (FCEB) 机构必须在 2024 年 8 月 13 日之前修复已识别的漏洞,以保护其网络免受主动威胁。
发表评论
您还未登录,请先登录。
登录