【安全资讯】CISA标记Microsoft .NET和Apache OFBiz漏洞为被攻击利用

概要：

美国网络安全与基础设施安全局（CISA）近日将四个漏洞列入其已知被利用漏洞目录，敦促联邦机构和大型组织尽快应用可用的安全更新。这些漏洞涉及广泛使用的软件应用程序Microsoft .NET Framework和Apache OFBiz，尽管CISA已标记这些漏洞为正在被攻击利用，但并未提供具体的恶意活动细节。

主要内容：

第一个漏洞为CVE-2024-29059，是一个高危的信息泄露漏洞，影响.NET Framework，由CODE WHITE发现并于2023年11月披露给微软。尽管微软在2023年12月关闭了该报告，声称此漏洞不符合立即服务的标准，但最终在2024年1月的安全更新中修复了该漏洞。CODE WHITE在2024年2月发布了技术细节和概念验证利用代码，微软在2024年3月发布了关于此漏洞的公告，并确认了研究人员的发现。

Apache OFBiz的漏洞为CVE-2024-45195，是一个严重的远程代码执行漏洞，影响18.12.16之前的版本。该漏洞由Rapid7发现，因强制浏览的弱点导致未认证的直接请求攻击。相关修复在2024年9月发布，用户被建议升级到18.12.16或更高版本以消除风险。CISA还敦促受影响的机构和组织在2025年2月25日之前应用可用的补丁或停止使用这些产品。此次新增的其他两个漏洞影响Paessler PRTG网络监控软件，补丁截止日期同样设定为2025年2月25日。