美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）于本周二在其已知被利用漏洞（KEV）目錄中新增了四個安全漏洞，并指出這些漏洞已在野外被積極利用。

新增漏洞詳情

以下為新增漏洞的具體信息：

• CVE-2024-45195（CVSS評分：7.5/9.8）：Apache OFBiz中的強(qiáng)制瀏覽漏洞，允許遠(yuǎn)程攻擊者未經(jīng)授權(quán)訪問服務(wù)器并執(zhí)行任意代碼（已于2024年9月修復(fù)）。
• CVE-2024-29059（CVSS評分：7.5）：Microsoft .NET Framework中的信息泄露漏洞，可能暴露ObjRef URI并導(dǎo)致遠(yuǎn)程代碼執(zhí)行（已于2024年3月修復(fù)）。
• CVE-2018-9276（CVSS評分：7.2）：Paessler PRTG網(wǎng)絡(luò)監(jiān)控器中的操作系統(tǒng)命令注入漏洞，允許具有管理員權(quán)限的攻擊者通過PRTG系統(tǒng)管理員Web控制臺執(zhí)行命令（已于2018年4月修復(fù)）。
• CVE-2018-19410（CVSS評分：9.8）：Paessler PRTG網(wǎng)絡(luò)監(jiān)控器中的本地文件包含漏洞，允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者創(chuàng)建具有讀寫權(quán)限的用戶（已于2018年4月修復(fù)）。

漏洞修復(fù)與應(yīng)對措施

盡管這些漏洞已由相關(guān)廠商修復(fù)，但目前尚無公開報告顯示這些漏洞在現(xiàn)實(shí)攻擊中如何被利用。CISA敦促聯(lián)邦民事行政部門（FCEB）機(jī)構(gòu)在2025年2月25日前應(yīng)用必要的修復(fù)措施，以防范潛在威脅。

此次新增的漏洞涉及多個廣泛使用的系統(tǒng)和框架，及時修復(fù)對于保障網(wǎng)絡(luò)安全至關(guān)重要。各機(jī)構(gòu)應(yīng)盡快采取行動，確保系統(tǒng)安全。