美国网络安全与基础设施安全局(CISA)将以下漏洞添加到其已知被利用漏洞(KEV)目录中:
CVE – 2025 – 0411:7 – Zip 绕过 “网页标记” 漏洞CVE – 2022 – 23748:Dante 发现进程控制漏洞CVE – 2024 – 21413:微软 Outlook 输入验证不当漏洞CVE – 2020 – 29574:CyberoamOS(CROS)SQL 注入漏洞
CVE – 2020 – 15069:Sophos XG 防火墙缓冲区溢出漏洞
CVE – 2024 – 21413 漏洞(通用漏洞评分系统(CVSS)得分为 9.8)是微软 Outlook 中的一个远程代码执行缺陷。攻击者可利用此漏洞获取高级权限,包括读取、写入和删除功能。
微软发布的安全公告称:“成功利用此漏洞将使攻击者绕过 Office 受保护视图,并以编辑模式而非受保护模式打开文件。”
CVE – 2020 – 15069 漏洞(CVSS 得分为 9.8)是 Sophos XG 防火墙 17.x 至 17.5 MR12 版本中的缓冲区溢出问题。
根据《约束性操作指令(BOD)22 – 01:降低已知被利用漏洞的重大风险》,联邦民用行政部门(FCEB)各机构必须在截止日期前解决已识别的漏洞,以保护其网络免受利用该目录中漏洞的攻击。
专家还建议私营企业审查该目录,并解决其基础设施中的漏洞。
CISA 命令联邦机构在 2025 年 2 月 27 日前修复此漏洞。
