美国 CISA 将 Draytek VigorConnect 和 Kingsoft WPS Office 错误添加到其已知利用漏洞目录中

美国网络安全和基础设施安全局 (CISA) 将 Draytek VigorConnect 和 Kingsoft WPS Office 错误添加到其已知利用漏洞目录中。

美国网络安全和基础设施安全局 (CISA) 已将 Draytek、VigorConnect 和 Kingsoft WPS Office 漏洞添加到其已知利用漏洞 (KEV) 目录中。

以下是这些漏洞的描述:

  • CVE-2021-20123漏洞Draytek VigorConnect 路径遍历漏洞:Draytek VigorConnect 1.6.0-B3 中存在一个本地文件包含问题,允许未经身份验证的攻击者利用 DownloadFileServlet 端点的文件下载功能。此缺陷使攻击者能够使用 root 权限从底层操作系统下载任意文件,从而构成重大安全风险。
  • CVE-2021-20124漏洞Draytek VigorConnect 路径遍历漏洞:Draytek VigorConnect 1.6.0-B3 中存在一个本地文件包含漏洞,该漏洞会影响 WebServlet 端点的文件下载功能。此漏洞允许未经身份验证的攻击者以 root 权限从底层操作系统下载任意文件,构成严重的安全威胁。
  • CVE-2024-7262漏洞金山 WPS Office 路径遍历漏洞:金山 WPS Office 中存在一个路径验证不当漏洞(版本 12.2.0.13110 至 12.2.0.16412),攻击者可以通过promecefpluginhost.exe加载任意的 Windows 库。此缺陷已通过单击式电子表格文档作为武器。

8 月底,Eset 研究人员报告称,与韩国相关的组织 APT-C-60 利用 Windows 版 WPS Office 中的零日漏洞(跟踪为 CVE-2024-7262)在东亚目标的系统中部署 SpyGlace 后门。

WPS Office 是由中国软件公司金山软件开发的一款综合办公生产力套件,在亚洲得到广泛使用。它为用户提供了一系列用于创建、编辑和管理文档、电子表格、演示文稿和 PDF 的工具。

根据 WPS 网站,WPS Office 在全球拥有超过 5 亿活跃用户。

根据具有约束力的操作指令 (BOD) 22-01:降低已知被利用漏洞的重大风险,FCEB 机构必须在截止日期前解决已识别的漏洞,以保护其网络免受利用目录中缺陷的攻击。

专家还建议私营组织查看 Catalog 并解决其基础设施中的漏洞。

CISA 命令联邦机构在 2024 年 9 月 24 日之前修复此漏洞。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐