More

    CISA dodaje Twilio Authy i IE mane na listu iskorišćenih ranjivosti

    Američka agencija za cyber sigurnost i sigurnost infrastrukture (CISA) dodala je dvije sigurnosne propuste u svoj katalog poznatih eksploatiranih ranjivosti ( KEV ), na osnovu dokaza o aktivnoj eksploataciji.

    Ranjivosti su navedene:

    • CVE-2012-4792 (CVSS rezultat: 9,3) – Ranjivost Microsoft Internet Explorer-a bez upotrebe

    • CVE-2024-39891 (CVSS rezultat: 5,3) – Twilio Authy Ranjivost otkrivanja informacija

    CVE-2012-4792 je decenija stara ranjivost u Internet Explorer-u koja može da omogući udaljenom napadaču da izvrši proizvoljni kod preko posebno kreirane lokacije.

    Trenutno nije jasno da li je greška bila podvrgnuta ponovnim pokušajima eksploatacije, iako je zloupotrebljena u sklopu napada na zalijevanje na web stranice Vijeća za međunarodne odnose (CFR) i Capstone Turbine Corporation u decembru 2012.

    S druge strane, CVE-2024-39891 se odnosi na grešku u otkrivanju informacija u neautoriziranoj krajnjoj tački koja bi se mogla iskoristiti da “prihvati zahtjev koji sadrži telefonski broj i odgovori s informacijama o tome da li je broj telefona registriran kod Authyja.”

    Ranije ovog mjeseca, Twilio je rekao da je riješio problem u verzijama 25.1.0 (Android) i 26.1.0 (iOS) nakon što su neidentifikovani akteri prijetnji iskoristili nedostatak da identifikuju podatke povezane s Authy nalozima.

    “Ove vrste ranjivosti su česti vektori napada za zlonamjerne cyber hakera i predstavljaju značajan rizik za savezno preduzeće”, navodi CISA u savjetovanju.

    Od agencija Federalne civilne izvršne vlasti (FCEB) se traži da otklone identificirane ranjivosti do 13. avgusta 2024. kako bi zaštitile svoje mreže od aktivnih prijetnji.

    Izvor:The Hacker News

    Recent Articles

    spot_img

    Related Stories