A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou duas novas vulnerabilidades ao seu catálogo de falhas exploradas ativamente (KEV), destacando ameaças críticas ao Microsoft Partner Center e à Synacor Zimbra Collaboration Suite (ZCS). A inclusão ocorre após evidências de que ambas as falhas estão sendo exploradas por cibercriminosos. As falhas listadas são CVE-2024-49035, uma vulnerabilidade de controle de acesso impróprio no Microsoft Partner Center, que permite que invasores escalem privilégios e comprometam contas, e CVE-2023-34192, uma falha de cross-site scripting (XSS) no Zimbra ZCS, que possibilita a execução remota de código por meio de scripts maliciosos.

Ambas já receberam correções, sendo a falha do Microsoft Partner Center corrigida em novembro de 2024 e a do Zimbra em julho de 2023, na versão 8.8.15 Patch 40. Embora a Microsoft tenha reconhecido que a CVE-2024-49035 foi explorada em ataques reais, a empresa não forneceu detalhes sobre como os invasores a utilizaram. Até o momento, não há relatos públicos confirmando o abuso da falha no Zimbra ZCS, mas sua inclusão na lista da CISA reforça a necessidade de aplicação imediata dos patches de segurança. Com esse alerta, as agências do governo federal dos EUA (FCEB) devem corrigir essas falhas até 18 de março de 2025 para garantir a proteção de suas redes.

O anúncio vem um dia após a inclusão de outras vulnerabilidades críticas na lista da CISA, incluindo falhas no Adobe ColdFusion e Oracle Agile Product Lifecycle Management (PLM), que também estão sendo ativamente exploradas por criminosos digitais. Especialistas alertam que falhas conhecidas, mas não corrigidas, são frequentemente usadas em ataques direcionados, tornando essencial que empresas e usuários apliquem as atualizações de segurança o quanto antes para evitar riscos desnecessários.