江蘇
關(guān)鍵詞
漏洞
美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)還將蘋果、Laravel Livewire 和 Craft CMS 的漏洞列入了其已知被利用漏洞(KEV)目錄。
以下是新列入該目錄的漏洞:
CVE - 2009 - 0238:微軟 Office 遠(yuǎn)程代碼執(zhí)行漏洞
CVE - 2026 - 32201:微軟 SharePoint Server 輸入驗(yàn)證不當(dāng)漏洞
第一個(gè)被列入的漏洞,編號(hào)為CVE - 2009 - 0238(CVSS 評(píng)分為 9.3),影響多個(gè)版本的微軟 Excel 及相關(guān)查看器。當(dāng)用戶打開一個(gè)特制的 Excel 文件,導(dǎo)致應(yīng)用程序訪問內(nèi)存中的無效對(duì)象時(shí),就會(huì)觸發(fā)該漏洞。這會(huì)導(dǎo)致內(nèi)存損壞,使遠(yuǎn)程攻擊者能夠以用戶權(quán)限在受影響的系統(tǒng)上執(zhí)行任意代碼。該漏洞在 2009 年 2 月曾在野外被積極利用,特別是被 Trojan.Mdropper.AC 惡意軟件利用,在當(dāng)時(shí)是一個(gè)重大的現(xiàn)實(shí)威脅。
第二個(gè)被列入目錄的漏洞,編號(hào)為CVE - 2026 - 32201,是一個(gè)關(guān)鍵的 SharePoint 零日漏洞,據(jù)微軟報(bào)告,該漏洞已在野外攻擊中被利用。CVE - 2026 - 32201(CVSS 評(píng)分為 6.5)是微軟 SharePoint Server 中的一個(gè)欺騙漏洞,可能與跨站腳本攻擊(XSS)相關(guān)。雖然細(xì)節(jié)有限,但它可能允許攻擊者查看或修改公開信息。微軟尚未透露該漏洞被利用的廣泛程度,但鑒于其潛在影響,各機(jī)構(gòu),尤其是那些擁有面向互聯(lián)網(wǎng)的 SharePoint 服務(wù)器的機(jī)構(gòu),應(yīng)優(yōu)先測(cè)試并盡快應(yīng)用補(bǔ)丁。
公告中寫道:“微軟 Office SharePoint 中的輸入驗(yàn)證不當(dāng),允許未經(jīng)授權(quán)的攻擊者通過網(wǎng)絡(luò)進(jìn)行欺騙攻擊”。“成功利用該漏洞的攻擊者可以查看一些敏感信息(機(jī)密性),修改公開信息(完整性),但無法限制對(duì)資源的訪問(可用性)。已檢測(cè)到利用行為”。
根據(jù)《約束性操作指令(BOD)22 - 01:降低已知被利用漏洞的重大風(fēng)險(xiǎn)》,美國(guó)聯(lián)邦民事行政部門(FCEB)機(jī)構(gòu)必須在截止日期前解決已識(shí)別的漏洞,以保護(hù)其網(wǎng)絡(luò)免受利用該目錄中漏洞的攻擊。專家還建議私營(yíng)企業(yè)查看該目錄,并解決其基礎(chǔ)設(shè)施中的相關(guān)漏洞。
CISA 命令聯(lián)邦機(jī)構(gòu)在 2026 年 4 月 28 日前修復(fù)這些漏洞。
安全圈
網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全
實(shí)時(shí)資訊一手掌握!
好看你就分享 有用就點(diǎn)個(gè)贊
支持「安全圈」就點(diǎn)個(gè)三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
