原始發布日期:2021 年 12 月 1 日
根據威脅行為者正在積極利用下表中列出的漏洞的證據,CISA 在其已知被利用漏洞目錄中添加了五個新漏洞。這些類型的漏洞是所有類型惡意網絡參與者的常見攻擊媒介,並對聯邦企業構成重大風險。
| CVE 編號 | CVE 標題 | 補救到期日 |
|---|---|---|
| CVE-2020-11261 | 高通多芯片組輸入驗證不正確漏洞 | 06/01/2022 |
| CVE-2018-14847 | MikroTik 路由器操作系統目錄遍歷漏洞 | 06/01/2022 |
| CVE-2021-37415 | Zoho ManageEngine ServiceDesk 身份驗證繞過漏洞 | 12/15/2021 |
| CVE-2021-40438 | Apache HTTP 服務器端請求偽造 (SSRF) | 12/15/2021 |
| CVE-2021-44077 | Zoho ManageEngine ServiceDesk Plus 遠程代碼執行 | 12/15/2021 |
約束性操作指令 (BOD) 22-01:降低已知被利用漏洞的重大風險建立了已知被利用漏洞目錄,作為對聯邦企業帶來重大風險的已知 CVE 的動態清單。 BOD 22-01 要求 FCEB 機構在截止日期前修復已識別的漏洞,以保護 FCEB 網絡免受活動威脅。有關更多信息,請參閱 BOD 22-01 情況說明書。
儘管 BOD 22-01 僅適用於 FCEB 機構,但 CISA 強烈敦促所有組織通過優先及時修復 Catalog 漏洞作為其漏洞管理實踐的一部分來減少遭受網絡攻擊的風險。 CISA 將繼續向目錄添加滿足指定標準的漏洞。
本產品的提供受本通知和本隱私和使用政策的約束。