美国网络安全和基础设施安全局(CISA)在其已知遭实际利用漏洞(KEV)目录中新增了6个安全漏洞,因有证据表明这些漏洞正在被积极利用。
其中包括:
- CVE-2023-27524 (CVSS评分:8.9):该高危漏洞影响开源数据可视化软件Apache Superset,攻击者可远程执行代码。该漏洞已在2.1版本中修复。该漏洞的信息最早于2023年4月被披露,Horizon3.ai的Naveen Sunkavally将其描述为“Apache Superset中一个危险的默认配置,允许未经身份验证的攻击者远程执行代码、窃取凭证并破坏数据”。目前尚不清楚该漏洞在野外是如何被利用的。
- CVE-2023-38203 (CVSS评分:9.8):Adobe ColdFusion反序列化不信任数据漏洞。
- CVE-2023-29300 (CVSS评分:9.8):Adobe ColdFusion反序列化不信任数据漏洞。
- CVE-2023-41990 (CVSS评分:7.8):苹果多款产品代码执行漏洞。
- CVE-2016-20017 (CVSS评分:9.8):D-Link DSL-2750B 设备命令注入漏洞。
- CVE-2023-23752 (CVSS评分:5.3):Joomla! 不当访问控制漏洞。
值得注意的是,CVE-2023-41990漏洞已被苹果在iOS 15.7.8和iOS 16.3中修复,但未知攻击者曾利用该漏洞(通过精心制作的iMessage PDF附件)在“三角测量”间谍软件攻击中实现远程代码执行。
CISA建议联邦民事行政部门(FCEB)机构在2024年1月29日前应用上述漏洞的修复程序,以保护其网络免受主动威胁。
原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/cisa-updates-kev-catalog-with-6-vulnerabilities.html