CISA将五个已知遭利用漏洞添加到目录

美国网络安全和基础设施安全局(CISA)在其已知遭利用漏洞目录中新增了五个已被积极利用的安全漏洞,包括服务器请求伪造、拒绝服务和远程代码执行等高危漏洞类型,要求联邦机构及时修复。

CISA将五个已知遭利用漏洞添加到目录

发布日期 2025年9月29日

CISA基于活跃利用的证据,在其已知遭利用漏洞(KEV)目录中新增了五个新漏洞:

  • CVE-2021-21311 Adminer服务器端请求伪造漏洞
  • CVE-2025-20352 Cisco IOS和IOS XE软件SNMP拒绝服务和远程代码执行漏洞
  • CVE-2025-10035 Fortra GoAnywhere MFT不可信数据反序列化漏洞
  • CVE-2025-59689 Libraesva电子邮件安全网关命令注入漏洞
  • CVE-2025-32463 Sudo从未受信任控制范围包含功能漏洞

这类漏洞是恶意网络行为者的常见攻击载体,对联邦企业构成重大风险。

《具有约束力的操作指令(BOD)22-01:降低已知遭利用漏洞的重大风险》将KEV目录确立为一个动态列表,包含对联邦企业构成重大风险的已知常见漏洞和暴露(CVE)。BOD 22-01要求联邦民事行政部门(FCEB)机构在截止日期前修复已识别的漏洞,以保护FCEB网络免受主动威胁。

尽管BOD 22-01仅适用于FCEB机构,但CISA强烈建议所有组织通过优先及时修复KEV目录漏洞作为其漏洞管理实践的一部分,来减少遭受网络攻击的风险。CISA将继续向目录中添加符合指定标准的漏洞。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次