CVE-2024-38189

Microsoft Project Remote Code Execution Vulnerability

CVSS 8.8 HIGHEPSS 7.9%● KEVCWE-20

Vexday Risk Score

51Atención

Decisión SSVC (CISA)

Act

Explotación + impacto → acción inmediata

CVSS 8.8EPSS 7.9%KEV simPoC —Nuclei —Metasploit —Patch referenciado

Ciclo de vida

13 ago 2024Explotación activa (CISA KEV)

13 ago 2024Publicada en NVD

Recomendación: Corregir cuanto antes — hay explotación activa confirmada.

En resumen

Una falla en Microsoft Project permite que los atacantes ejecuten código arbitrario en la computadora de una víctima si abre un archivo especialmente diseñado. Esto es peligroso porque da a los atacantes control total del sistema afectado.

Detalle técnico

Una vulnerabilidad de validación de entrada (CWE-20) en Microsoft Project permite la ejecución remota de código cuando un usuario abre un archivo de proyecto malicioso. El ataque requiere interacción del usuario (apertura de archivo) y resulta en ejecución de código con privilegios de usuario, comprometiendo el sistema.

Resumen generado y traducido por IA a partir de la descripción oficial.

Microsoft Project Remote Code Execution Vulnerability

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C

Productos afectados

Microsoft · Microsoft 365 Apps for Enterprise Microsoft · Microsoft Office 2019 Microsoft · Microsoft Office LTSC 2021 Microsoft · Microsoft Project 2016

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38189 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-38189