82/68 (IT) ประจำวันศุกร์ที่ 28 กุมภาพันธ์ 2568
หน่วยงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่ CVE-2023-34192 ของ Synacor Zimbra Collaboration Suite (ZCS) และ CVE-2024-49035 ของ Microsoft Partner Center ลงใน Known Exploited Vulnerabilities (KEV) catalog โดยมีรายละเอียดของช่องโหว่ดังนี้
– ช่องโหว่ CVE-2023-34192 มีคะแนนความรุนแรง CVSS 9.0 เป็นช่องโหว่ Cross-Site Scripting (XSS) ใน Synacor ZCS ซึ่งช่วยให้ผู้โจมตีที่ผ่านการรับรองตัวตนสามารถรันโค้ดอันตรายผ่านสคริปต์ที่ถูกสร้างขึ้นบนฟังก์ชัน /h/autoSaveDraft ได้ ช่องโหว่นี้ได้รับการแก้ไขแล้วใน เวอร์ชัน 8.8.15 Patch 40 เมื่อเดือนกรกฎาคม 2023
– ช่องโหว่ CVE-2024-49035 มีคะแนนความรุนแรง CVSS 8.7 เป็นช่องโหว่ Improper Access Control ใน Microsoft Partner Center ซึ่งช่วยให้ผู้โจมตีสามารถยกระดับสิทธิ์ ได้ ช่องโหว่นี้ได้รับการแก้ไขแล้วใน Patch Tuesday Security Updates เดือนพฤศจิกายน 2024
เพื่อป้องกันและลดความเสี่ยงจากช่องโหว่เหล่านี้ หน่วยงานภายใต้การกำกับดูแลของ Federal Civilian Executive Branch (FCEB) ต้องทำการอัปเดตแก้ไขช่องโหว่ภายในวันที่ 25 มีนาคม 2025 ตามแนวทางของ Binding Operational Directive (BOD) 22-01 ซึ่งเป็นมาตรการเพื่อลดความเสี่ยงจากช่องโหว่ที่ถูกใช้โจมตี นอกจากนี้ CISA ยังแนะนำให้องค์กรเอกชนตรวจสอบรายการ KEV และดำเนินมาตรการป้องกันที่เหมาะสม เพื่อป้องกันการถูกโจมตีจากช่องโหว่เหล่านี้ด้วย
