原始發布日期:2021 年 11 月 17 日
CISA 已在其已知被利用漏洞目錄中添加了四個新漏洞,這些漏洞需要聯邦文職行政部門 (FCEB) 機構在 2021 年 12 月 1 日之前進行補救。CISA 有證據表明威脅行為者正在積極利用下表中列出的漏洞。這些類型的漏洞是所有類型惡意網絡參與者的常見攻擊媒介,並對聯邦企業構成重大風險。
| CVE 編號 | CVE 標題 | 補救到期日 |
| CVE-2021-22204 | Exiftool 遠程代碼執行漏洞 | 12/01/2021 |
| CVE-2021-40449 | Microsoft Win32k 特權提升 | 12/01/2021 |
| CVE-2021-42292 | Microsoft Excel 安全功能繞過 | 12/01/2021 |
| CVE-2021-42321 | Microsoft Exchange Server 遠程代碼執行 | 12/01/2021 |
約束性操作指令 (BOD) 22-01:降低已知被利用漏洞的重大風險建立了已知被利用漏洞目錄,作為對聯邦企業帶來重大風險的已知 CVE 的動態清單。 BOD 22-01 要求 FCEB 機構在截止日期前修復已識別的漏洞,以保護 FCEB 網絡免受活動威脅。有關更多信息,請參閱 BOD 22-01 情況說明書。
儘管 BOD 22-01 僅適用於 FCEB 機構,但 CISA 強烈敦促所有組織通過優先及時修復 Catalog 漏洞作為其漏洞管理實踐的一部分來減少遭受網絡攻擊的風險。 CISA 將繼續向目錄添加滿足指定標準的漏洞。
本產品的提供受本通知和本隱私和使用政策的約束。