美国网络安全和基础设施安全局 （CISA） 根据主动利用的证据，在其已知利用漏洞 （KEV） 目录中添加了两个安全漏洞。

下面列出了这些漏洞 –

• CVE-2012-4792 （CVSS 分数： 9.3） – Microsoft Internet Explorer 释放后使用漏洞
• CVE-2024-39891 （CVSS 分数：5.3） – Twilio Authy 信息泄露漏洞CVE-2024-39891 （CVSS score： 5.3） – Twilio Authy Information Disclosure Vulnerability

CVE-2012-4792 是 Internet Explorer 中一个已有十年历史的释放后使用漏洞，可能允许远程攻击者通过特别构建的站点执行任意代码。

目前尚不清楚该漏洞是否已经再次遭到利用尝试，尽管它在2012年12月针对外交关系委员会（CFR）和Capstone Turbine Corporation网站的水坑攻击中被滥用。

另一方面，CVE-2024-39891 指的是未经身份验证的端点中的信息泄露漏洞，该漏洞可用于“接受包含电话号码的请求并响应有关电话号码是否已在 Authy 注册的信息”。

本月早些时候，Twilio 表示，在未识别的威胁行为者利用这一缺点识别与 Authy 帐户关联的数据后，它在版本 25.1.0 （Android） 和 26.1.0 （iOS） 中解决了这个问题。

“这些类型的漏洞是恶意网络行为者的常见攻击媒介，并对联邦企业构成重大风险，”CISA在一份公告中表示。

联邦文职行政部门 （FCEB） 机构必须在 2024 年 8 月 13 日之前修复已识别的漏洞，以保护其网络免受主动威胁。