上週美國網路安全暨基礎設施安全局(CISA)將3項已知漏洞列入已被用於攻擊行動的漏洞列表(KEV),並要求聯邦機構要在7月17日前完成修補。
這些漏洞分別是:地理位置資訊伺服器GeoServer重大層級程式碼注入漏洞CVE-2022-24816、Linux核心的記憶體釋放後又再存取使用(Use After Free,UAF)漏洞CVE-2022-2586,以及郵件伺服器Roundcube跨網站指令碼(XSS)漏洞CVE-2020-13965,CVSS風險評分為9.8、7.8、6.1。
根據CVSS評分,最嚴重的漏洞是CVE-2022-24816,這項漏洞發生的原因在於,GeoServer採用的開源元件JAI-EXT當中,一旦此應用系統使用jt-jiffle,並允許透過網際網路取得Jiffle指令碼,就有機會導致攻擊者能遠端執行程式碼。2022年4月開發團隊發布1.2.22版GeoServer予以修補,同年8月有研究人員公布相關細節,以及概念性驗證(PoC)攻擊程式碼。
評為高風險層級的Linux核心缺陷CVE-2022-2586,是發生在nft資料表(NF_Tables)的記憶體釋放後又再存取使用漏洞,而有可能被攻擊者用於提升權限。由於nft物件或表示式可以引用不同的nft資料表上的nft資料集,一旦該資料表被刪除,就會觸發漏洞。這項漏洞是在2022年5月舉行的漏洞挖掘競賽Pwn2Own Vancouver揭露,Linux基金會於同年8月予以修補。
第三個是公布長達4年的漏洞CVE-2020-13965,攻擊者可寄送惡意的XML附件,而在收信人預覽附件的時候觸發,使得攻擊者能繞過系統的指令碼過濾器並執行任意JavaScript程式碼,開發團隊2020年6月發布新版軟體修補。
熱門新聞
2024-07-02
2024-07-01
2024-07-01
