CISA 将微软 SharePoint Server 和 Office Excel 漏洞列入已知被利用漏洞目录
- 浏览次数 40
- 喜欢 0
HackerNews 编译,转载请注明出处:
美国网络安全和基础设施安全局(CISA)还将苹果、Laravel Livewire 和 Craft CMS 的漏洞列入了其已知被利用漏洞(KEV)目录。
以下是新列入该目录的漏洞:
- CVE - 2009 - 0238:微软 Office 远程代码执行漏洞
- CVE - 2026 - 32201:微软 SharePoint Server 输入验证不当漏洞
第一个被列入的漏洞,编号为 CVE - 2009 - 0238(CVSS 评分为 9.3),影响多个版本的微软 Excel 及相关查看器。当用户打开一个特制的 Excel 文件,导致应用程序访问内存中的无效对象时,就会触发该漏洞。这会导致内存损坏,使远程攻击者能够以用户权限在受影响的系统上执行任意代码。该漏洞在 2009 年 2 月曾在野外被积极利用,特别是被 Trojan.Mdropper.AC 恶意软件利用,在当时是一个重大的现实威胁。
第二个被列入目录的漏洞,编号为 CVE - 2026 - 32201,是一个关键的 SharePoint 零日漏洞,据微软报告,该漏洞已在野外攻击中被利用。CVE - 2026 - 32201(CVSS 评分为 6.5)是微软 SharePoint Server 中的一个欺骗漏洞,可能与跨站脚本攻击(XSS)相关。虽然细节有限,但它可能允许攻击者查看或修改公开信息。微软尚未透露该漏洞被利用的广泛程度,但鉴于其潜在影响,各机构,尤其是那些拥有面向互联网的 SharePoint 服务器的机构,应优先测试并尽快应用补丁。
公告中写道:“微软 Office SharePoint 中的输入验证不当,允许未经授权的攻击者通过网络进行欺骗攻击”。“成功利用该漏洞的攻击者可以查看一些敏感信息(机密性),修改公开信息(完整性),但无法限制对资源的访问(可用性)。已检测到利用行为”。
根据《约束性操作指令(BOD)22 - 01:降低已知被利用漏洞的重大风险》,美国联邦民事行政部门(FCEB)机构必须在截止日期前解决已识别的漏洞,以保护其网络免受利用该目录中漏洞的攻击。专家还建议私营企业查看该目录,并解决其基础设施中的相关漏洞。
CISA 命令联邦机构在 2026 年 4 月 28 日前修复这些漏洞。
消息来源:securityaffairs.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文