CISA 将 Twilio Authy 和 IE 漏洞添加到利用漏洞列表中

2024-07-29 13:04:22 0 642

CISA 将 Twilio Authy 和 IE 漏洞添加到利用漏洞列表中



根据主动利用的证据,美国网络安全和基础设施安全局 (CISA) 在其已知被利用漏洞 ( KEV ) 目录中添加了两个安全漏洞。

这些漏洞如下:

CVE-2012-4792(CVSS 评分:9.3)- Microsoft Internet Explorer 释放后使用漏洞

CVE-2024-39891(CVSS 评分:5.3)- Twilio Authy 信息泄露漏洞

CVE-2012-4792 是 Internet Explorer 中存在十年之久的释放后使用漏洞,它可能允许远程攻击者通过特制的网站执行任意代码。

目前尚不清楚该漏洞是否遭到了新的利用,尽管早在 2012 年 12 月,该漏洞就被用作针对外交关系委员会 (CFR) 和 Capstone Turbine Corporation 网站的水坑攻击的一部分。

另一方面,CVE-2024-39891 指的是未经身份验证的端点中的信息泄露错误,可被利用来“接受包含电话号码的请求,并响应有关该电话号码是否在 Authy 注册的信息”。

本月早些时候,Twilio表示已在 25.1.0(Android)和 26.1.0(iOS)版本中解决了该问题,此前身份不明的威胁行为者利用该缺陷识别了与 Authy 帐户相关的数据。

CISA在一份咨询报告中表示: “这些类型的漏洞是恶意网络行为者频繁攻击的媒介,对联邦企业构成了重大风险。”

联邦民事行政部门 (FCEB) 机构必须在 2024 年 8 月 13 日之前修复已发现的漏洞,以保护其网络免受主动威胁。

关于作者

maojila99篇文章420篇回复

评论0次

要评论?请先  登录  或  注册