CISA بر اساس شواهدی مبنی بر اکسپلویت فعال، دو نقص امنیتی را که بر Microsoft Partner Center و Synacor Zimbra Collaboration Suite (ZCS) تأثیر میگذارد، در فهرست آسیبپذیریهای شناخته شده خود (KEV) قرار داد.
آسیبپذیریهای مورد بحث به شرح زیر هستند:
- CVE-2023-34192 (امتیاز CVSS: 9.0): آسیبپذیری اسکریپت بین سایتی (XSS) در Synacor ZCS که به مهاجم احراز هویت از راه دور اجازه میدهد تا کد دلخواه را از طریق یک اسکریپت دستکاری شده در تابع /h/autoSaveDraft اجرا کند. (در ژوئیه 2023 با نسخه 8.8.15 پچ 40 رفع شد)
- CVE-2024-49035 (امتیاز CVSS: 8.7): آسیبپذیری کنترل دسترسی نامناسب در Microsoft Partner Center که به مهاجم اجازه میدهد سطح دسترسی را ارتقا دهد. (در نوامبر 2024 برطرف شد)
https://thehackernews.com/2025/02/cisa-adds-microsoft-and-zimbra-flaws-to.html
