Bộ đôi lỗ hổng Zimbra và Microsoft "bị nhắc" trong cảnh báo của CISA

[WhiteHat Team]

Cơ quan An ninh Mạng và Cơ sở hạ tầng (CISA) vừa cảnh báo 2 lỗ hổng nghiêm trọng nhắm vào các nền tảng phổ biến là CVE-2023-34192 và CVE-2024-49035, đồng thời yêu cầu các cơ quan, tổ chức phải áp dụng bản vá cho cả 2 lỗ hổng trước ngày 18/3/2025.

​

CVE-2023-34192: Lỗ hổng XSS trong Zimbra Collaboration Suite​

Lỗ hổng đầu tiên là CVE-2023-34192, một lỗ hổng Cross-Site Scripting (XSS) nghiêm trọng ảnh hướng đến Zimbra Collaboration Suite (ZCS) phiên bản 8.8.15. Với điểm CVSS 9,0, lỗ hổng này cho phép kẻ tấn công từ xa đăng nhập và chèn các mã độc thông qua chức năng /h/autoSaveDraft, từ đó thực thi mã tùy ý và chiếm toàn bộ hệ thống.

Do lỗ hổng XSS này đã bị tấn công trong thực tế, các tổ chức sử dụng Zimbra ZCS 8.8.15 cần ngay lập tức cập nhật bản vá để bảo vệ hệ thống.

CVE-2024-49035: Lỗ hổng leo thang đặc quyền trong Microsoft Partner Portal​

Lỗ hổng thứ hai là CVE-2024-49035, một lỗ hổng leo thang đặc quyền trong partner.microsoft.com với điểm CVSS 8,7, cho phép kẻ tấn công chưa xác thực danh tính có thể leo thang đặc quyền từ xa bằng cách khai thác lỗ hổng trong cài đặt truy cập.

Microsoft đã công bố lỗ hổng này vào tháng 11 năm ngoái. Tuy nhiên, hãng vẫn chưa tiết lộ các chi tiết về việc khai thác lỗ hổng trong thực tế.

Microsoft đang tự động triển khai các bản vá cho phiên bản trực tuyến của Power Apps. Các tổ chức sử dụng Microsoft Partner Portal cần đảm bảo hệ thống đã được cập nhật và tăng cường biện pháp bảo mật nhằm giảm thiểu nguy cơ bị tấn công.

Theo Security Online​