CISA新增五个已知被利用漏洞至安全目录

美国网络安全和基础设施安全局(CISA)在其已知被利用漏洞目录中新增了五个漏洞,包括GNU Bash命令注入、Juniper ScreenOS身份验证绕过等高风险漏洞,这些漏洞已被恶意攻击者积极利用,对联邦企业构成重大安全风险。

CISA新增五个已知被利用漏洞至目录

CISA基于活跃利用的证据,在其已知被利用漏洞(KEV)目录中新增了五个新漏洞:

  • CVE-2014-6278 GNU Bash操作系统命令注入漏洞
  • CVE-2015-7755 Juniper ScreenOS身份验证绕过漏洞
  • CVE-2017-1000353 Jenkins远程代码执行漏洞
  • CVE-2025-4008 Smartbedded Meteobridge命令注入漏洞
  • CVE-2025-21043 三星移动设备越界写入漏洞

这类漏洞是恶意网络攻击者的常见攻击载体,对联邦企业构成重大风险。

《具有约束力的操作指令(BOD)22-01:降低已知被利用漏洞的重大风险》将KEV目录确立为一个动态更新的已知通用漏洞和暴露(CVE)列表,这些漏洞对联邦企业构成重大风险。BOD 22-01要求联邦民事行政部门(FCEB)机构在截止日期前修复已识别的漏洞,以保护FCEB网络免受主动威胁。

尽管BOD 22-01仅适用于FCEB机构,但CISA强烈建议所有组织通过优先及时修复KEV目录漏洞作为其漏洞管理实践的一部分,来减少遭受网络攻击的风险。CISA将继续向目录中添加符合指定标准的漏洞。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次