KEV目录发布6个被利用漏洞,涉及Apple、Apache、Adobe、D-Link、Joomla!厂商

美国网络安全和基础设施安全局(CISA)发布6个已被利用的漏洞,涉及厂商Apple、Apache、Adobe、D-Link、Joomla!等,CVE-2023-41990漏洞已被苹果修复,但仍被未知攻击者利用。建议受影响进行漏洞修复,以保护其网络安全。

美国网络安全和基础设施安全局(CISA)在其已知遭实际利用漏洞(KEV)目录中新增了6个安全漏洞,因有证据表明这些漏洞正在被积极利用。

其中包括:

  • CVE-2023-27524 (CVSS评分:8.9):该高危漏洞影响开源数据可视化软件Apache Superset,攻击者可远程执行代码。该漏洞已在2.1版本中修复。该漏洞的信息最早于2023年4月被披露,Horizon3.ai的Naveen Sunkavally将其描述为“Apache Superset中一个危险的默认配置,允许未经身份验证的攻击者远程执行代码、窃取凭证并破坏数据”。目前尚不清楚该漏洞在野外是如何被利用的。
  • CVE-2023-38203 (CVSS评分:9.8):Adobe ColdFusion反序列化不信任数据漏洞。
  • CVE-2023-29300 (CVSS评分:9.8):Adobe ColdFusion反序列化不信任数据漏洞。
  • CVE-2023-41990 (CVSS评分:7.8):苹果多款产品代码执行漏洞。
  • CVE-2016-20017 (CVSS评分:9.8):D-Link DSL-2750B 设备命令注入漏洞。
  • CVE-2023-23752 (CVSS评分:5.3):Joomla! 不当访问控制漏洞。

值得注意的是,CVE-2023-41990漏洞已被苹果在iOS 15.7.8和iOS 16.3中修复,但未知攻击者曾利用该漏洞(通过精心制作的iMessage PDF附件)在“三角测量”间谍软件攻击中实现远程代码执行

CISA建议联邦民事行政部门(FCEB)机构在2024年1月29日前应用上述漏洞的修复程序,以保护其网络免受主动威胁。

原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/cisa-updates-kev-catalog-with-6-vulnerabilities.html

(0)
上一篇 2024年1月9日 下午9:13
下一篇 2024年1月10日 下午9:30

相关推荐