La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) agregó el martes cuatro fallas de seguridad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), citando evidencia de explotación activa en la naturaleza.
La lista de vulnerabilidades es la siguiente:
- CVE-2024-45195 (puntuación CVSS: 7,5/9,8): una vulnerabilidad de navegación forzada en Apache OFBiz que permite a un atacante remoto obtener acceso no autorizado y ejecutar código arbitrario en el servidor (corregido en septiembre de 2024)
- CVE-2024-29059 (puntuación CVSS: 7,5): una vulnerabilidad de divulgación de información en Microsoft .NET Framework que podría exponer el URI ObjRef y provocar la ejecución remota de código (corregido en marzo de 2024)
- CVE-2018-9276 (puntuación CVSS: 7,2): una vulnerabilidad de inyección de comandos del sistema operativo en Paessler PRTG Network Monitor que permite a un atacante con privilegios administrativos ejecutar comandos a través de la consola web del administrador del sistema PRTG (corregido en abril de 2018)
- CVE-2018-19410 (puntuación CVSS: 9,8): una vulnerabilidad de inclusión de archivos locales en Paessler PRTG Network Monitor que permite a un atacante remoto no autenticado crear usuarios con privilegios de lectura y escritura (corregido en abril de 2018)
Aunque los respectivos proveedores ya han solucionado estos fallos, actualmente no hay informes públicos sobre cómo pueden haber sido explotados en ataques del mundo real.
Se ha instado a las agencias del Poder Ejecutivo Civil Federal (FCEB) a aplicar las correcciones necesarias antes del 25 de febrero de 2025 para protegerse contra las amenazas activas.
Fuente y redacción: thehackernews.com
