Tres vulnerabilidades identificadas se clasifican como críticas, 113 como importantes y dos como moderadas. Cinco de las vulnerabilidades se conocían en el momento del lanzamiento de la actualización y dos de ellas ya habían sido explotadas en ataques del mundo real. Una de esas vulnerabilidades es CVE-2024-43572, con una puntuación CVSS de 7,8, debido a la ejecución remota de código a través de Microsoft Management Console. El segundo es CVE-2024-43573 con una puntuación de 6,5, que afecta a la plataforma MSHTML y permite la suplantación de identidad.
Ambas vulnerabilidades están incluidas en el catálogo de vulnerabilidades explotables conocidas de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), y las agencias federales deben solucionarlas antes del 29 de octubre de 2024.
Particular atención de los expertos atrajo la vulnerabilidad CVE-2024-43468 con una puntuación de 9,8, asociada a la ejecución remota de código en Microsoft Configuration Manager. Permite a los atacantes ejecutar comandos arbitrarios enviando solicitudes especialmente diseñadas al servidor.
Otras vulnerabilidades críticas incluyen CVE-2024-43488 y CVE-2024-43582, que también pueden usarse para la ejecución remota de código. La explotación de CVE-2024-43582 requiere ataques complejos, lo que reduce en cierta medida el riesgo de su explotación.