Ciberseguridad

Microsoft corrige fallas de seguridad de IA, nube y ERP; Uno explotado en ataques activos

2 Lectura mínima
2 Lectura mínima
AI, Cloud, and ERP Security Flaws

Microsoft ha abordado cuatro fallas de seguridad que afectan sus ofertas de inteligencia artificial (IA), nube, planificación de recursos empresariales y Centro de socios, incluida una que, según dijo, ha sido explotada en la naturaleza.

La vulnerabilidad que ha sido etiquetada con una evaluación de “Explotación detectada” es CVE-2024-49035 (puntuación CVSS: 8,7), una falla de escalada de privilegios en socio.microsoft(.)com.

“Una vulnerabilidad de control de acceso inadecuado en partner.microsoft(.)com permite a un atacante no autenticado elevar privilegios sobre una red”, dijo el gigante tecnológico en un aviso publicado esta semana.

Microsoft le dio crédito a Gautam Peri, Apoorv Wadhwa y a un investigador anónimo por informar sobre la falla, pero no reveló ningún detalle sobre cómo se está explotando en ataques del mundo real.

Las soluciones a las deficiencias se están implementando automáticamente como parte de las actualizaciones de la versión en línea de Microsoft Power Apps. Redmond también aborda otras tres vulnerabilidades, dos de las cuales están clasificadas como críticas y una como importante en gravedad:

  • CVE-2024-49038 (puntuación CVSS: 9,3): una vulnerabilidad de secuencias de comandos entre sitios (XSS) en Copilot Studio que podría permitir a un atacante no autorizado escalar privilegios en una red.
  • CVE-2024-49052 (puntuación CVSS: 8,2): falta de autenticación para una vulnerabilidad de función crítica en Microsoft Azure PolicyWatch que podría permitir a un atacante no autorizado escalar privilegios en una red
  • CVE-2024-49053 (puntuación CVSS: 7,6): una vulnerabilidad de suplantación de identidad en Microsoft Dynamics 365 Sales que podría permitir a un atacante autenticado engañar a un usuario para que haga clic en una URL especialmente diseñada y potencialmente redirigir a la víctima a un sitio malicioso.
LEER  La nueva herramienta de phishing GoIssue se dirige a los desarrolladores de GitHub en campañas de correo electrónico masivas

Si bien la mayoría de las vulnerabilidades ya se han mitigado por completo y no requieren ninguna acción del usuario, se recomienda actualizar las aplicaciones Dynamics 365 Sales para Android e iOS a la última versión (3.24104.15) para protegerlas contra CVE-2024-49053.

ETIQUETADO:
Comparte este artículo
Artículo anterior Oppo Find X8 Pro vs iPhone 16: ¿Qué último buque insignia es la elección correcta? Oppo Find X8 Pro vs iPhone 16: ¿Qué último buque insignia es la elección correcta?
Siguiente artículo Amazon te regalará 75 dólares si compras un Meta Quest 3S este Black Friday Amazon te regalará 75 dólares si compras un Meta Quest 3S este Black Friday

Últimas noticias

Se rumorea que AMD Radeon RX 9070 XT es la nueva GPU RDNA 4 insignia, según nuevas filtraciones
Se rumorea que AMD Radeon RX 9070 XT es la nueva GPU RDNA 4 insignia, según nuevas filtraciones
Hardware
Glutton PHP Malware
El nuevo malware Glutton explota marcos PHP populares como Laravel y ThinkPHP
Ciberseguridad
La fecha de pedido anticipado de la serie Samsung Galaxy S25 se adelanta al lanzamiento en enero de 2025
La fecha de pedido anticipado de la serie Samsung Galaxy S25 se adelanta al lanzamiento en enero de 2025
Móviles
Una nueva variante C++ del malware BellaCiao
Una nueva variante C++ del malware BellaCiao
Ciberseguridad
Esta nueva computadora portátil para juegos Asus ROG Strix tiene suficiente RGB para hacer que su escritorio brille
Esta nueva computadora portátil para juegos Asus ROG Strix tiene suficiente RGB para hacer que su escritorio brille
Hardware