مایکروسافت چهار نقص امنیتی در artificial intelligence (AI), cloud, enterprise resource planning و Partner Center offerings را از جمله یک مورد تحت اکسپلویت برطرف کرد.
شناسه CVE-2024-49035 (امتیاز CVSS: 8.7) که با ارزیابی «Exploitation Detected» برچسبگذاری شده است، نقص ارتقا سطح دسترسی در partner.microsoft[.]com است. رفع نقصها به عنوان بخشی از بهروزرسانیهای نسخه آنلاین Microsoft Power Apps به طور خودکار ارائه میشوند.
افزون بر این، ردموند سه آسیبپذیری دیگر به شرح زیر را برطرف کرده است:
- CVE-2024-49038 (امتیاز CVSS: 9.3): آسیبپذیری XSS در Copilot Studio که میتواند به مهاجم غیر مجاز اجازه ارتقا سطح دسترسی در شبکه را بدهد.
- CVE-2024-49052 (امتیاز CVSS: 8.2): احراز هویت از دست رفته برای یک آسیبپذیری عملکرد حیاتی در Microsoft Azure PolicyWatch که میتواند به مهاجم غیرمجاز اجازه دهد سطح دسترسی را در شبکه ارتقا دهد.
- CVE-2024-49053 (امتیاز CVSS: 7.6): آسیبپذیری جعل در Microsoft Dynamics 365 Sales که میتواند به مهاجم احراز هویت شده اجازه دهد تا کاربر را فریب دهد تا روی URL ساخته شده خاص کلیک و احتمالاً قربانی را به سایت مخرب هدایت کند. به منظور ایمنسازی در برابر این نقص، توصیه شده که اپهای Dynamics 365 Sales برای اندروید و iOS به آخرین نسخه (3.24104.15) بهروزرسانی شود.
https://thehackernews.com/2024/11/microsoft-fixes-ai-cloud-and-erp.html
