美国CISA将Oracle、Windows、Kentico和苹果漏洞纳入已知可利用漏洞目录

美国网络安全和基础设施安全局(CISA)近期将多个厂商的关键漏洞加入已知可利用漏洞目录,包括Oracle EBS、Windows SMB、Kentico CMS和苹果JavaScriptCore组件中的安全漏洞,要求联邦机构在2025年11月10日前完成修复。

美国CISA将Oracle、Windows、Kentico和苹果漏洞纳入已知可利用漏洞目录

美国网络安全和基础设施安全局(CISA)已将Oracle、Windows、Kentico和苹果产品中的多个漏洞添加到其已知可利用漏洞(KEV)目录中。

新增漏洞列表

  • CVE-2022-48503 Apple多产品未指定漏洞
  • CVE-2025-2746 Kentico Xperience Staging Sync Server摘要密码认证绕过漏洞
  • CVE-2025-2747 Kentico Xperience Staging Sync Server无密码类型认证绕过漏洞
  • CVE-2025-33073 Microsoft Windows SMB客户端不当访问控制漏洞
  • CVE-2025-61884 Oracle电子商务套件服务器端请求伪造(SSRF)漏洞

漏洞详情

Oracle E-Business Suite漏洞 Oracle最近发布紧急补丁,修复了E-Business Suite Runtime UI组件(版本12.2.3–12.2.14)中的信息泄露漏洞CVE-2025-61884(CVSS评分7.5)。Oracle首席安全官Rob Duhart表示,此漏洞可能允许访问敏感资源。未经身份验证的攻击者可远程利用此漏洞窃取敏感数据。

Windows SMB客户端漏洞 CISA还将Microsoft Windows SMB客户端中的高严重性不当访问控制漏洞(CVE-2025-33073)添加到目录中,该漏洞可能导致权限提升,微软已于2025年6月发布补丁。

Kentico CMS漏洞 美国机构还警告Kentico Xperience CMS中两个关键认证绕过问题(CVE-2025-2746和CVE-2025-2747)的利用情况。这两个问题都允许攻击者通过Staging Sync Server密码处理中的弱点获得对管理对象的控制。

Apple JavaScriptCore漏洞 最后添加到目录中的是一个存在三年的Apple漏洞(CVE-2022-48503),影响其JavaScriptCore组件。攻击者可触发此漏洞在处理Web内容时执行任意代码。

合规要求

根据《绑定操作指令(BOD)22-01:降低已知可利用漏洞的重大风险》,联邦民事行政部门机构必须在截止日期前解决已识别的漏洞,以保护其网络免受利用目录中漏洞的攻击。

专家还建议私营组织审查该目录并解决其基础设施中的漏洞。

CISA要求联邦机构在2025年11月10日前修复这些漏洞。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次