原始發布日期:2022 年 1 月 18 日
CISA 在其已知已利用漏洞目錄中添加了 13 個新漏洞,基於有證據表明威脅參與者正在積極利用下表中列出的漏洞。這些類型的漏洞是所有類型的惡意網絡參與者的常見攻擊媒介,並對聯邦企業構成重大風險。
| CVE 編號 | CVE 標題 | 要求的行動到期日 |
| CVE-2021-32648 | 十月 CMS 身份驗證不正確 | 2022 年 2 月 1 日 |
| CVE-2021-21315 | node.js 命令注入漏洞的系統信息庫 | 2022 年 2 月 1 日 |
| CVE-2021-21975 | vRealize Operations Manager API 漏洞中的服務器端請求偽造 | 2022 年 2 月 1 日 |
| CVE-2021-22991 | BIG-IP 流量微內核緩衝區溢出漏洞 | 2022 年 2 月 1 日 |
| CVE-2021-25296 | Nagios XI OS 命令注入漏洞 | 2022 年 2 月 1 日 |
| CVE-2021-25297 | Nagios XI OS 命令注入漏洞 | 2022 年 2 月 1 日 |
| CVE-2021-25298 | Nagios XI OS 命令注入漏洞 | 2022 年 2 月 1 日 |
| CVE-2021-33766 | Microsoft Exchange Server 信息洩露漏洞 | 2022 年 2 月 1 日 |
| CVE-2021-40870 | Aviatrix 控制器無限制上傳文件漏洞 | 2022 年 2 月 1 日 |
| CVE-2020-11978 | Apache Airflow 命令注入漏洞 | 2022 年 7 月 18 日 |
| CVE-2020-13671 | Drupal Core 無限制上傳文件漏洞 | 2022 年 7 月 18 日 |
| CVE-2020-13927 | Apache Airflow 實驗性 API 身份驗證繞過漏洞 | 2022 年 7 月 18 日 |
| CVE-2020-14864 | Oracle Corporate Business Intelligence 企業版路徑遍歷漏洞 | 2022 年 7 月 18 日 |
具有約束力的操作指令 (BOD) 22-01:降低已知被利用漏洞的重大風險建立了“已知被利用漏洞目錄”作為對聯邦企業帶來重大風險的已知 CVE 的活生生的清單。 BOD 22-01 要求 FCEB 機構在截止日期前修復已識別的漏洞,以保護 FCEB 網絡免受活動威脅。有關詳細信息,請參閱 BOD 22-01 情況說明書。
儘管 BOD 22-01 僅適用於 FCEB 機構,但 CISA 強烈敦促所有組織通過優先及時修復目錄漏洞作為其漏洞管理實踐的一部分來減少遭受網絡攻擊的風險。 CISA 將繼續向目錄中添加符合指定條件的漏洞。
本產品是根據本通知和本隱私和使用政策提供的。