五个新被利用漏洞进入CISA目录——Oracle和微软位列目标

美国网络安全和基础设施安全局（CISA）周一在其已知被利用漏洞（KEV）目录中新增了五个安全漏洞，正式确认最近披露的影响Oracle电子商务套件（EBS）的漏洞已在真实攻击中被武器化。

该安全缺陷编号为CVE-2025-61884（CVSS评分：7.5），被描述为Oracle配置器运行时组件中的服务器端请求伪造（SSRF）漏洞，可能允许攻击者未经授权访问关键数据。

CISA表示：“此漏洞可在无需身份验证的情况下远程利用。”

CVE-2025-61884是Oracle EBS中第二个被积极利用的漏洞，与CVE-2025-61882（CVSS评分：9.8）一起，后者是一个严重漏洞，可能允许未经身份验证的攻击者在易受攻击的实例上执行任意代码。

本月早些时候，谷歌威胁情报小组（GTIG）和Mandiant披露，在CVE-2025-61882被利用后，可能有数十个组织受到影响。

GTIG高级安全工程师Zander Work上周告诉The Hacker News：“目前，我们无法将任何特定的利用活动归因于特定行为者，但我们观察到的一些利用活动很可能是由现在进行Cl0p品牌勒索操作的行为者进行的。”

CISA添加到KEV目录的其他四个漏洞包括：

• CVE-2025-33073（CVSS评分：8.8）- Microsoft Windows SMB客户端中的不当访问控制漏洞，可能导致权限提升（微软于2025年6月修复）
• CVE-2025-2746（CVSS评分：9.8）- Kentico Xperience CMS中使用替代路径或通道的身份验证绕过漏洞，攻击者可通过利用摘要身份验证中空SHA1用户名的暂存同步服务器密码处理来控制管理对象（Kentico于2025年3月修复）
• CVE-2025-2747（CVSS评分：9.8）- Kentico Xperience CMS中使用替代路径或通道的身份验证绕过漏洞，攻击者可通过利用服务器定义的None类型的暂存同步服务器密码处理来控制管理对象（Kentico于2025年3月修复）
• CVE-2022-48503（CVSS评分：8.8）- Apple JavaScriptCore组件中的数组索引不当验证漏洞，在处理Web内容时可能导致任意代码执行（Apple于2022年7月修复）

目前尚无关于上述四个问题在野外被利用的详细信息，不过关于CVE-2025-33073、CVE-2025-2746和CVE-2025-2747的细节已分别由Synacktiv和watchTowr Labs的研究人员分享。

GuidePoint Security研究员Cameron Stish与CrowdStrike、SySS GmbH、RedTeam Pentesting GmbH、Google Project Zero和Ahamada M’Bamba一起独立报告了CVE-2025-33073（也称为反射性Kerberos中继攻击或LoopyTicket），他表示如果未强制执行SMB签名，可利用此漏洞在域控制器上获得提升的代码执行权限。

联邦民事执行分支（FCEB）机构需在2025年11月10日前修复已识别的漏洞，以保护其网络免受活跃威胁。