原始发布日期:2022 年 1 月 18 日
CISA 在其已知已利用漏洞目录中添加了 13 个新漏洞,基于有证据表明威胁参与者正在积极利用下表中列出的漏洞。这些类型的漏洞是所有类型的恶意网络参与者的常见攻击媒介,并对联邦企业构成重大风险。
| CVE 编号 | CVE 标题 | 要求的行动到期日 |
| CVE-2021-32648 | 十月 CMS 身份验证不正确 | 2022 年 2 月 1 日 |
| CVE-2021-21315 | node.js 命令注入漏洞的系统信息库 | 2022 年 2 月 1 日 |
| CVE-2021-21975 | vRealize Operations Manager API 漏洞中的服务器端请求伪造 | 2022 年 2 月 1 日 |
| CVE-2021-22991 | BIG-IP 流量微内核缓冲区溢出漏洞 | 2022 年 2 月 1 日 |
| CVE-2021-25296 | Nagios XI OS 命令注入漏洞 | 2022 年 2 月 1 日 |
| CVE-2021-25297 | Nagios XI OS 命令注入漏洞 | 2022 年 2 月 1 日 |
| CVE-2021-25298 | Nagios XI OS 命令注入漏洞 | 2022 年 2 月 1 日 |
| CVE-2021-33766 | Microsoft Exchange Server 信息泄露漏洞 | 2022 年 2 月 1 日 |
| CVE-2021-40870 | Aviatrix 控制器无限制上传文件漏洞 | 2022 年 2 月 1 日 |
| CVE-2020-11978 | Apache Airflow 命令注入漏洞 | 2022 年 7 月 18 日 |
| CVE-2020-13671 | Drupal Core 无限制上传文件漏洞 | 2022 年 7 月 18 日 |
| CVE-2020-13927 | Apache Airflow 实验性 API 身份验证绕过漏洞 | 2022 年 7 月 18 日 |
| CVE-2020-14864 | Oracle Corporate Business Intelligence 企业版路径遍历漏洞 | 2022 年 7 月 18 日 |
具有约束力的操作指令 (BOD) 22-01:降低已知被利用漏洞的重大风险建立了“已知被利用漏洞目录”作为对联邦企业带来重大风险的已知 CVE 的活生生的清单。 BOD 22-01 要求 FCEB 机构在截止日期前修复已识别的漏洞,以保护 FCEB 网络免受活动威胁。有关详细信息,请参阅 BOD 22-01 情况说明书。
虽然 BOD 22-01 仅适用于 FCEB 机构,但 CISA 强烈敦促所有组织通过优先及时修复目录漏洞作为其漏洞管理实践的一部分来减少其遭受网络攻击的风险。 CISA 将继续向目录中添加符合指定条件的漏洞。
本产品是根据本通知和本隐私和使用政策提供的。