江蘇
關鍵詞
漏洞
美國網絡安全和基礎設施安全局(CISA)還將蘋果、Laravel Livewire 和 Craft CMS 的漏洞列入了其已知被利用漏洞(KEV)目錄。
以下是新列入該目錄的漏洞:
CVE - 2009 - 0238:微軟 Office 遠程代碼執行漏洞
CVE - 2026 - 32201:微軟 SharePoint Server 輸入驗證不當漏洞
第一個被列入的漏洞,編號為CVE - 2009 - 0238(CVSS 評分為 9.3),影響多個版本的微軟 Excel 及相關查看器。當用戶打開一個特制的 Excel 文件,導致應用程序訪問內存中的無效對象時,就會觸發該漏洞。這會導致內存損壞,使遠程攻擊者能夠以用戶權限在受影響的系統上執行任意代碼。該漏洞在 2009 年 2 月曾在野外被積極利用,特別是被 Trojan.Mdropper.AC 惡意軟件利用,在當時是一個重大的現實威脅。
第二個被列入目錄的漏洞,編號為CVE - 2026 - 32201,是一個關鍵的 SharePoint 零日漏洞,據微軟報告,該漏洞已在野外攻擊中被利用。CVE - 2026 - 32201(CVSS 評分為 6.5)是微軟 SharePoint Server 中的一個欺騙漏洞,可能與跨站腳本攻擊(XSS)相關。雖然細節有限,但它可能允許攻擊者查看或修改公開信息。微軟尚未透露該漏洞被利用的廣泛程度,但鑒于其潛在影響,各機構,尤其是那些擁有面向互聯網的 SharePoint 服務器的機構,應優先測試并盡快應用補丁。
公告中寫道:“微軟 Office SharePoint 中的輸入驗證不當,允許未經授權的攻擊者通過網絡進行欺騙攻擊”。“成功利用該漏洞的攻擊者可以查看一些敏感信息(機密性),修改公開信息(完整性),但無法限制對資源的訪問(可用性)。已檢測到利用行為”。
根據《約束性操作指令(BOD)22 - 01:降低已知被利用漏洞的重大風險》,美國聯邦民事行政部門(FCEB)機構必須在截止日期前解決已識別的漏洞,以保護其網絡免受利用該目錄中漏洞的攻擊。專家還建議私營企業查看該目錄,并解決其基礎設施中的相關漏洞。
CISA 命令聯邦機構在 2026 年 4 月 28 日前修復這些漏洞。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
