CISA公告内容

美国网络安全与基础设施安全局（CISA）将CVE-2025-32463——一个Sudo中的关键权限提升漏洞——添加到其已知被利用漏洞（KEV）目录中， citing evidence of active exploitation in the wild and setting a due date of October 20, 2025 for required mitigations for federal agencies.

漏洞简介

CVE-2025-32463（CVSS评分9.3）影响Sudo 1.9.17p1之前版本，可允许本地攻击者通过滥用-R（–chroot）选项提升至root权限——具体原因是sudo在chroot环境中操作时可能使用来自用户控制目录的/etc/nsswitch.conf文件。

发现者与时间

该漏洞由Stratascale网络研究部门的Rich Mirch披露；Stratascale发布了技术细节并与Sudo维护者协调披露。供应商和主要发行版随后发布了补丁或缓解措施，指导用户升级到sudo 1.9.17p1或更高版本。

利用证据与影响范围

CISA的KEV列表明确指出了活跃利用情况，并将Sudo条目与其他最近添加的活跃利用CVE并列——为机构设定了明确的缓解截止日期，并表明防御者应将此问题视为紧急事项。公开报告和供应商公告证实，这是一个影响许多Linux/Unix发行版的高影响本地权限提升漏洞。

缓解与修复步骤

管理员应立即采取以下行动：

• 从供应商包或上游Sudo公告升级Sudo至1.9.17p1或更高版本
• 如果无法立即升级，隔离或限制存在不受信任本地帐户的系统访问（例如容器主机、多用户服务器、构建服务器）
• 审核sudoers规则以及自动化或脚本中-R/–chroot的使用；尽可能移除或限制chroot使用
• 加强本地权限提升尝试的日志记录和检测，并监控异常的sudo或chroot相关活动

同批添加的其他CVE

CISA在同一更新中添加的KEV还包括其他四个漏洞——涉及Adminer、Cisco IOS/IOS XE、Fortra GoAnywhere MFT和Libraesva ESG——均遵循相同的KEV截止日期指导（2025年10月20日）。机构应将此更新视为更广泛的强制优先修补窗口的一部分。

核心要点

立即修补Sudo（1.9.17p1或更新版本），验证sudoers和chroot使用情况，并优先处理暴露给多个本地用户的系统。CISA的KEV指定和10月20日截止日期强调这不是常规更新——这是一个影响广泛、被活跃利用的漏洞，需要立即关注。